javadog-net

前言

??緣由

在一個月黑風高的夜晚，正準備休息的我突然接到之前外包老總的親切問候。一頓輸出才知道三年前為了搭建流程化部署，將企業的測試代碼放到github上后忘記刪除?，F在被甲方的代碼掃描機制掃到，并且檢查到代碼已經被其他用戶fork，雖沒有造成損失，但要求清除github所有數據及被fork的代碼。以此為戒，特來跟大家分享一下處理流程，重點是GitHub的DMCA 下架通知提交指南。

??本文閱讀時長

約10分鐘

??主要目標

1. 熟悉GitHub的DMCA 下架通知提交指南
2. 代碼涉密被別人fork如何在GitHub安全下架
3. 掌握申訴流程及申訴時間點把控

正文

??1.判斷政策分類

DMCA 下架政策包含如下兩種，根據自己情況如是選擇。

1.GitHub 私人信息刪除政策

“私人信息”是指符合以下條件的內容：應該保密，并且一旦公開，會對您或您的組織造成特定安全風險。

白話：通俗來講就是沒有版權，涉及到個人私密的文件。如果想刪除庫中單個文件審核比較輕松，若是想刪除整個庫可能難度較大。所需材料如下：

1. 可訪問您組織的服務器、網絡或域的訪問憑據，例如用戶名與密碼組合、訪問令牌或其他敏感密鑰。
2. 可代表您訪問第三方的 AWS 令牌和其他類似訪問憑據。 您必須能夠證明該令牌確實屬于您。
3. 對組織構成特定安全風險的文檔（例如網絡圖或架構）。
4. 與您個人相關并對您構成安全風險的信息（如社會保障號碼或其他政府身份號碼）。

2.GitHub 商標政策

在使用企業或企業名稱、徽標或其他受商標保護的材料時，如果使用方式可能使他人對品牌或業務從屬關系產生誤解或感到困惑，則此類使用可能被視為違反商標政策。

白話：通俗來講就是侵犯到版權，被人舉報侵權等，此審核所需材料較多，如下：

1. 被舉報帳戶的用戶名
2. 貴企業名稱
3. 您的企業 GitHub 帳戶（如果有）
4. 企業網站
5. 您商標中使用的詞語、符號等。
6. 商標注冊號
7. ......等等

??2.處理步驟

GitHub 私人信息刪除政策

1.訪問GitHub 私人信息刪除政策申請地址

https://support.github.com/contact/private-information

2.解析每條問題如何選擇及回復

1. Company GitHub account (if applicable)
   ??????翻譯：企業 GitHub 帳戶（如果適用）

此處選擇【Not Applicable/Other】(不適用/其他)

2. Is the content you're reporting copyrighted work that you own?
   ??????翻譯：您報告的內容是您擁有的受版權保護的作品嗎？

此處選擇【No】(不是)。此處也可選擇YES，如果有版權保護可以直接通過【GitHub 商標政策】申請即可

3. Is your request related to a full repository or a specific file(s)?
   ??????翻譯：您的請求與完整存儲庫或特定文件相關嗎？

此處根據個人情況選擇,若要刪除整個庫可能審核費勁，若選擇刪除單獨文件則比較好通過。

4. Please identify the content you are reporting. Select all that apply.
   ??????翻譯：請指明您舉報的內容。 選擇所有符合條件的。

此處根據個人情況選擇,其中包含如下5種選項，切記如果勾選，請把項目中涉及的敏感內容具體分布及多少行寫清楚，有助于審核通過

• Access Credentials.【訪問憑證】
• AWS tokens and other similar access credentials.【AWS 令牌和其他類似的訪問憑證】
• Documentation (such as network diagrams or architecture) that poses a specific security risk for an organization. 【對組織構成特定安全風險的文檔】
• Information related to, and posing a security risk to, you as an individual (such as social security numbers or other government identification numbers).【與您個人相關并構成安全風險的信息（例如社會安全號碼或其他政府身份證號碼）】

?? 舉個本狗申請例子，本人勾選了Access Credentials，然后填寫了具體內容

It contains a lot of private information. 
For example, the application-prod.yml configuration file under the path /src/main/resources/contains personal private database configuration information (address, account, password). For example, the sixth line of the application-prod.yml file contains the url of the database, and the seventh and eighth lines contain the database account password username: hrgc, password: xxx xxx. For another example, line 70 contains the key information of my bug component apikey: xxx.Also, in/src/main/java/com/xxx/user/api/XXXApi.java, line 12 and 13 contain the KEY and SECRET required by the user center, completely exposing private information. Others can break my server and database information through the information in the application-prod.yml file, which involves personal privacy and constitutes a security risk.

All contents of the following repository have been deleted.
https://github.com/xxxx/xxxx

However, the content can still be found in the link below. If personal information is involved, please delete it.
https://github.com/xxx/xxxxx-trunk
https://github.com/xxx/xxxxx-trunk

翻譯如下

它包含很多私人信息。
例如/src/main/resources/路徑下的application-prod.yml配置文件包含個人私有數據庫配置信息（地址、賬號、密碼）。 例如application-prod.yml文件第六行包含數據庫的url，第七行和第八行包含數據庫賬號密碼username：hrgc，password：xxx xxx。 再比如，第70行包含了我的bug組件apikey的關鍵信息：xxx.另外，在/src/main/java/com/xxx/user/api/XXXApi.java中，第12行和13行包含了需要的KEY和SECRET 通過用戶中心，徹底暴露隱私信息。 其他人可以通過application-prod.yml文件中的信息破解我的服務器和數據庫信息，涉及個人隱私，存在安全隱患。

以下存儲庫的所有內容已被刪除。
https://github.com/xxxx/xxxx

但是，仍然可以在下面的鏈接中找到內容。 如涉及個人信息，請刪除。
https://github.com/xxx/xxxxx-trunk
https://github.com/xxx/xxxxx-trunk

5. Have you attempted to contact the GitHub user(s) who uploaded the sensitive data?
   ??????翻譯：您是否嘗試聯系上傳敏感數據的 GitHub 用戶？

此處根據個人情況選擇,詢問是否自己嘗試聯系過fork自己代碼的GitHub用戶，無關緊要，本狗選擇【No】

6. Is the request particularly time-sensitive?
   ??????翻譯：該請求是否對時間特別敏感？

詢問是否著急，對時間要求緊。本狗選擇【No】如果寫Yes還需要描述：報告的數據暴露了多長時間？ 您是否可以分享任何您認為會使此請求特別緊迫的信息？

7. Are you a third party acting as an agent for an organization facing a security risk?
   ??????翻譯：您是作為面臨安全風險的組織的代理的第三方嗎？

本狗選擇【No】如果寫Yes還需要描述：請附上一份聲明，說明您有合法權利代表該組織行事。

8. How long has the reported content been publicly available?
   ??????翻譯：舉報的內容公開多久了？

本狗選擇【24+ months】因為是三年前項目了，公開了3年之久了。此處可根據自己實際情況選擇即可。

9. I confirm that I have read the GitHub Private Information Removal Policy
   ??????翻譯：我確認我已閱讀 GitHub 私人信息刪除政策

此處勾選同意即可

3.申請總覽圖

4.點擊【發送請求】

如果成功GitHub會回執一分郵件，告知你已經接受到

GitHub 商標政策

1.訪問GitHub 商標政策申請地址

https://support.github.com/contact/dmca-takedown

2.解析每條問題如何選擇及回復

1. Are you the copyright holder or authorized to act on the copyright owner's behalf?
   ??????翻譯：您是版權所有者或授權代表版權所有者行事嗎？

此處選擇【Yes, I am the copyright holder.】是的，我是版權所有者。

2. Are you submitting a revised DMCA notice after GitHub Trust & Safety requested you make changes to your original notice?
   ??????翻譯：在 GitHub Trust & Safety 要求您更改原始通知后，您是否提交了修訂后的 DMCA 通知？

此處選擇【No】

3. Does your claim involve content on GitHub or npm.js?
   ??????翻譯：您的聲明是否涉及 GitHub 或 npm.js 上的內容？

此處選擇【GitHub】，如果有其他情況可根據實際情況選擇

4. Please describe the nature of your copyright ownership or authorization to act on the owner's behalf.
   ??????翻譯：請描述您的版權所有權或授權代表所有者行事的性質。

此處進行填入自己版權所屬權的相關信息，如下包含示例及翻譯

We have software(https://github.com/xxxx/xxxx) that was developed in-house and one of our developers uploaded it to GitHub and made it public. We notified this former employee who promptly deleted the content, but anothers has a copy. We made contact for deletion, but he did not respond to our messages.It contains a lot of private information. For example, the application-prod.yml configuration file under the path/src/main/resources/contains personal private database configuration information (address, account, password). For example, the sixth line of the application-prod.yml file contains the url of the database, and the seventh and eighth lines contain the database account password username: hrgc, password: xxx 123. For another example, line 70 contains the key information of my bug component apikey: xxxx.Also, in/src/main/java/com/xxxx/user/api/ProductsApi.java, line 12 and 13 contain the KEY and SECRET required by the user center, completely exposing private information. Others can break my server and database information through the information in the application-prod.yml file, which involves company privacy and constitutes a security risk.

我們有內部開發的軟件（https://github.com/xxxx/xxxx），我們的一位開發人員將其上傳到 GitHub 并公開。 我們通知了這位前雇員，他立即刪除了內容，但其他人有一份副本。 我們聯系刪除，他沒有回復我們的消息，里面有很多隱私信息。 比如路徑/src/main/resources/下的application-prod.yml配置文件包含個人私有數據庫配置信息（地址、賬號、密碼）。 例如application-prod.yml文件第六行包含數據庫的url，第七行和第八行包含數據庫賬號密碼用戶名：hrgc，密碼：xxx 123。再比如第70行包含key 我的bug組件apikey的信息：xxxx.另外，在/src/main/java/com/xxxx/user/api/ProductsApi.java中，第12行和第13行包含了用戶中心需要的KEY和SECRET，完全暴露了隱私信息 . 其他人可以通過application-prod.yml文件中的信息破解我的服務器和數據庫信息，涉及企業隱私，存在安全隱患。

5. Please provide a detailed description of the original copyrighted work that has allegedly been infringed. If possible, include a URL to where it is posted online.
   ??????翻譯：請提供涉嫌侵權的原始版權作品的詳細描述。 如果可能，包括在線發布的 URL。

此處進行填入自己代碼倉庫地址及別人fork之后的地址清單，如下包含示例及翻譯

All contents of the following repository have been deleted.
https://github.com/xxxx/xxxx-trunk
However, the content can still be found in the link below. If personal information is involved, please delete it.
https://github.com/xxxx/xxxx-trunk
https://github.com/xxxx/xxxx-trunk

下列儲存庫的所有內容已被刪除。
https://github.com/xxxx/xxxx
不過，內容還是可以在下面的鏈接中找到。如涉及個人信息，請及時刪除。
https://github.com/xxxx/xxxx
https://github.com/xxxx/xxxx

6. What files should be taken down? Please provide URLs for each file, or if the entire repository, the repository’s URL.
   ??????翻譯：應該刪除哪些文件？ 請提供每個文件的 URL，或者如果是整個存儲庫，請提供存儲庫的 URL。

此處填入想要刪除的分支或者被fork的倉庫的路徑，若想刪除單獨文件，可提供單獨文件的URL

All repository content.
https://github.com/xxxx/xxxx
https://github.com/xxxx/xxxx

所有存儲庫內容。
https://github.com/xxxx/xxxx
https://github.com/xxxx/xxxx

7. Do you claim to have any technological measures in place to control access to your copyrighted content? Please see our Complaints about Anti-Circumvention Technology if you are unsure.
   ??????翻譯：您是否聲稱已采取任何技術措施來控制對您受版權保護的內容的訪問？ 如果您不確定，請參閱我們關于反規避技術的投訴。

此處填入【No】

8. Have you searched for any forks of the allegedly infringing files or repositories? Each fork is a distinct repository and must be identified separately if you believe it is infringing and wish to have it taken down.
   ??????翻譯：您是否搜索過涉嫌侵權的文件或存儲庫的任何分支？ 每個分支都是一個不同的存儲庫，如果您認為它侵權并希望將其刪除，則必須單獨標識。

此處填入你搜索過想要刪除的其他分支及fork侵權的倉庫地址

No forks have been identified other than the one below.
https://github.com/xxxx/xxxx-trunk
https://github.com/xxxx/xxxx-trunk

除下面的fork外，沒有發現其他fork。
https://github.com/xxxx/xxxx
https://github.com/xxxx/xxxxx

9. Is the work licensed under an open source license?
   ??????翻譯：該作品是否在開源許可下獲得許可？

此處填入【No】

10. What would be the best solution for the alleged infringement?
    ??????翻譯：對于涉嫌侵權的最佳解決方案是什么？

此處選擇【Reported content must be removed】必須刪除舉報的內容

11. Do you have the alleged infringer’s contact information? If so, please provide it.
    ??????翻譯：您有涉嫌侵權人的聯系方式嗎？ 如果有，請提供。

此處填入【No】

12. 勾選確認如下4條信息
    

我真誠地相信，在侵權網頁上使用上述受版權保護的材料未經版權所有者或其代理人或法律授權。
我發誓，根據偽證處罰，本通知中的信息準確無誤，并且我是涉嫌侵權的專有權的版權所有者，或被授權代表所有者行事。
我已經考慮了合理使用。
我已閱讀并理解 GitHub 的提交 DMCA 刪除通知指南。

13. So that we can get back to you, please provide either your telephone number or physical address.
    ??????翻譯：為了便于我們回復您，請提供您的電話號碼或實際地址。

此處填入自己的郵箱或者電話號碼

14. Please type your full legal name below to sign this request.
    ??????翻譯：請在下方輸入您的法定全名以簽署此請求。

此處填入自己的真實名字

3.申請總覽圖

4.點擊【發送請求】

如果成功GitHub會回執一分郵件，告知你已經接受到

??3.發送時間

因GitHub是漂亮國所屬，人工審核按照他們上班時間處理，與咱們時間相差十個小時左右，所以建議晚上八點后發送，如運氣好則會24點前收到回復，再根據回復內容修改不符合要求內容。若不想熬夜則第二天再次查看即可，切勿著急?。?！著急也沒用，運氣好一般審核的時間差在4個小時左右。

??總結

程序員刪庫跑路單干，結局大概是要吃牢飯！

通過此次的意外事故，學習到項目隱私及版權相關知識，并熟悉了DMCA下架政策保障隱私。希望大家以此為戒，永遠都用不到這些。