一、 前言

在企業(yè)安全中司倚，常有安全意識薄弱的員工將企業(yè)核心代碼上傳到了GitHub铝侵，可是當上傳者無法及時定位又需要快速的刪除這些代碼時，GitHub提供了兩個協(xié)議锄码，用于保護被侵權(quán)者的利益夺英。其一是大家熟知的DMCA協(xié)議晌涕，當整個倉庫涉及侵權(quán)時使用，還有一個是敏感數(shù)據(jù)刪除協(xié)議痛悯，當部分敏感信息（比如密碼）被發(fā)布在github上時使用余黎。

本文就將針對這兩個協(xié)議做詳細介紹，以及給出英文模板载萌，以供快速的響應(yīng)敏感代碼泄露事件驯耻。

二、 GitHub DMCA Takedown 協(xié)議

DMCA即Digital Millennium Copyright Act炒考，中文翻譯為《數(shù)字千年版權(quán)法》可缚，用于用戶在版權(quán)遭到侵犯時的申述，DMCA定義了申述后對開發(fā)者的通知和刪除規(guī)則斋枢。DMCA提供了：

1帘靡、版權(quán)所有者要求刪除內(nèi)容的通知程序

2、當內(nèi)容因錯誤或錯誤識別而被刪除時瓤帚，用戶可通過反通知程序重新啟用內(nèi)容

官方對以上兩個操作的解釋為：

DMCA的刪除通知被版權(quán)所有者用來要求GitHub刪除他們認為是侵權(quán)的內(nèi)容描姚。如果你是一名軟件設(shè)計師或開發(fā)人員，你每天都會創(chuàng)建受版權(quán)保護的內(nèi)容戈次。如果其他人在GitHub上以未經(jīng)授權(quán)的方式使用您的版權(quán)內(nèi)容轩勘，您可以向我們發(fā)送DMCA刪除通知，要求更改或刪除侵權(quán)內(nèi)容怯邪。

另一方面绊寻，反通知可以用來糾正錯誤。也許發(fā)送刪除通知的人沒有版權(quán)悬秉，或者沒有意識到您有許可證澄步，或者在他們的刪除通知中犯了其他一些錯誤。由于GitHub通常無法知道是否有錯誤和泌，DMCA計數(shù)器通知允許您讓我們知道并要求我們將內(nèi)容放回去村缸。

DMCA通知和刪除程序只適用于有關(guān)版權(quán)侵犯的投訴。通過我們的DMCA程序發(fā)送的通知必須識別版權(quán)作品或被指控侵權(quán)的作品武氓。該程序不能用于其他投訴梯皿，如對涉嫌商標侵權(quán)或敏感數(shù)據(jù)的投訴;我們?yōu)檫@些情況提供單獨的流程。

DMCA的通知程序步驟如下：

1县恕、著作權(quán)人調(diào)查东羹，由版權(quán)所有者進行初步調(diào)查，確認他們擁有原創(chuàng)作品的版權(quán)

2弱睦、版權(quán)所有者發(fā)出通知百姓，調(diào)查完成后，版權(quán)所有者向GitHub發(fā)送一個刪除通知况木，如果刪除通知根據(jù)法定要求（https://help.github.com/en/articles/guide-to-submitting-a-dmca-takedown-notice）足夠詳細垒拢，GitHub會將通知發(fā)布到公共倉庫中旬迹，并將鏈接傳遞給受影響的用戶

3、GitHub要求用戶整改求类，如果刪除通知中表示倉庫中所有內(nèi)容都收到了侵犯奔垦，GitHub將跳過第6步，迅速禁用整個倉庫尸疆，否則GitHub不能禁用倉庫中特定文件的訪問椿猎。GitHub將與創(chuàng)建倉庫的用戶聯(lián)系，并給他們大約24小時的時間來刪除或修改通知中的指定內(nèi)容寿弱，并且這個步驟會通知版權(quán)所有者

4犯眠、用戶必須根據(jù)刪除通知的內(nèi)容進行整改，如果24小時內(nèi)沒有完成整改并通知GitHub症革，則會被禁用倉庫

5筐咧、版權(quán)所有人修改或撤回刪除通知。如果用戶做出了整改噪矛，版權(quán)所有者不許對其進行審查量蕊，如果整改不足，則必須更新或修改其刪除通知艇挨。這一步GitHub不會采取任何進一步的行動残炮，除非版權(quán)所有者聯(lián)系GitHub更新原始的刪除通知。如果版權(quán)所有者對整改滿意缩滨，可以向GitHub提交正式的撤回聲明势就，或者什么也不做。GitHub將把超過2周的沉默解讀為默認撤回刪除通知

6楷怒、GitHub可能會禁止對內(nèi)容的訪問蛋勺。如果版權(quán)所有者聲稱對用戶的整個倉庫擁有版權(quán)(如步驟3所述)，GitHub將禁用用戶的內(nèi)容鸠删；如第4步所述，使用者在獲給予更改的機會后贼陶，并無作出任何更改;或在用戶有機會作出更改后刃泡，版權(quán)擁有人已更新其刪除通知。如果版權(quán)所有者選擇修改通知碉怔，我們將回到步驟2烘贴，并重復這個過程，就像修改后的通知是一個新的通知一樣撮胧。

7桨踪、用戶可以發(fā)送反通知。GitHub鼓勵那些內(nèi)容被禁用的用戶向律師咨詢他們的選擇芹啥。如果用戶認為他們的內(nèi)容因錯誤或錯誤識別而被禁用锻离，他們可以向GitHub發(fā)送反通知铺峭。與最初的通知一樣，若確保反通知足夠詳細汽纠，GitHub將把它發(fā)布到我們的公共存儲庫中卫键，并通過發(fā)送鏈接將通知返回給版權(quán)所有者。

8虱朵、著作權(quán)人可以提起訴訟莉炉。如果版權(quán)所有者希望在收到反通知后禁用該內(nèi)容，他們將需要發(fā)起法律行動碴犬，尋求法院命令絮宁，以阻止用戶從事與GitHub上的內(nèi)容相關(guān)的侵權(quán)活動。換句話說服协，你可能會被起訴绍昂。如果版權(quán)所有者在10-14天內(nèi)沒有通知GitHub，則通過向有管轄權(quán)的法院提交一份有效的法律投訴副本蚯涮，GitHub將重新啟用被禁用的內(nèi)容治专。

特別要說明的，如果版權(quán)所用者認為fork也侵犯了版權(quán)遭顶，那么需要在刪除通知中明確包含fork张峰。

GitHub會在https://github.com/github/dmca中公布任何收到的法律通知（包括原始通知、反通知或者撤銷）的修訂副本棒旗，且會刪除來源信息的聯(lián)系方式喘批。

2.1、如何提交DMCA刪除通知

在DMCA刪除通知中铣揉，需要包含：

1饶深、“我已閱讀并理解GitHub提交DMCA通知的指南」涔埃”??"I have read and understand GitHub's Guide to Filing a DMCA Notice."

2敌厘、認證你認為被侵犯的版權(quán)作品。如果您已經(jīng)發(fā)布了您的作品朽合，您可能只需要鏈接回它所在的web頁面俱两。如果它是專有的而不是發(fā)布的，您可以描述它并解釋它是專有的曹步。如果你已經(jīng)在版權(quán)局注冊了宪彩，你應(yīng)該包括注冊號碼。如果你聲稱托管的內(nèi)容是對你作品的直接讲婚、文字復制尿孔，你也可以解釋這個事實。

3、確認你所指控的材料侵犯了受版權(quán)保護的作品活合。

4雏婶、解釋受影響的用戶需要做什么來補救侵權(quán)。

5芜辕、提供你的聯(lián)系方式尚骄。包括你的電子郵件地址，姓名侵续，電話號碼和實際地址倔丈。

6、如果你知道的話状蜗，為涉嫌侵權(quán)者提供聯(lián)系方式需五。

7、“我深信在侵權(quán)網(wǎng)頁上使用上述受版權(quán)保護的資料轧坎，并不獲版權(quán)擁有人宏邮、其代理人或法律的授權(quán)。我已經(jīng)考慮了合理使用缸血∶郯保”I have a good faith belief that use of the copyrighted materials described above on the infringing web pages is not authorized by the copyright owner, or its agent, or the law. I have taken fair use into consideration."

8、“我宣誓捎泻，在偽證的懲罰下飒炎，本通知中的信息是準確的，我是版權(quán)所有人笆豁，或被授權(quán)代表版權(quán)所有人郎汪，對據(jù)稱受到侵犯的專有權(quán)采取行動〈秤”?"I swear, under penalty of perjury, that the information in this notification is accurate and that I am the copyright owner, or am authorized to act on behalf of the owner, of an exclusive right that is allegedly infringed."

上方內(nèi)容編輯好以后煞赢，最快的方式是通過https://github.com/contact/dmca來提交。

或發(fā)送到郵箱copyright@github.com哄孤，如果需要寄件照筑，可以使用下方地址：

GitHub, Inc

Attn: DMCA Agent

88 Colin P Kelly Jr St

San Francisco, CA. 94107

DMCA刪除通知通用模板

斜體字為https://github.com/contact/dmca鏈接中提出的問題以及中文翻譯（有錯誤請指正）

**Are you the copyright owner or authorized to act on the copyright owner’s behalf?**

你是版權(quán)擁有者或代表版權(quán)擁有者的行事嗎？

Yes.I am at （公司名字） and its product （產(chǎn)品名稱或項目的稱呼） and authorized to act on their behalf.

**Please provide a detailed description of the original copyrighted work that has allegedly been infringed. If possible, include a URL to where it is posted online.**

請?zhí)峁┮环輷?jù)稱已被侵權(quán)的原創(chuàng)版權(quán)作品的詳細描述瘦陈。如果可能的話朦肘，包括一個在線發(fā)布的網(wǎng)址。

（泄露的軟件名稱）is a software product available at the urls. It is a commercial product and it's code is fully copyrighted and owned by （公司名字）.

https://（公司官方鏈接或者能夠證明作品的在線鏈接）

**What files should be taken down? Please provide URLs for each file, or if the entire repository, the repository’s URL:**

哪些文件應(yīng)該被刪除双饥？請?zhí)峁┟總€文件的鏈接，如果是整個存儲庫的話則提供存儲庫的鏈接

復制需要刪除的文件GitHub鏈接 https://github.com/xxxx

**Have you searched for any forks of the allegedly infringing files or repositories? Each fork is a distinct repository and must be identified separately if you believe it is infringing and wish to have it taken down.**

你是否搜尋過涉嫌侵權(quán)的文件或資料庫的任何forks? 每個fork都是一個不同的存儲庫弟断，如果您認為它是侵權(quán)的咏花，并且希望刪除它，則必須單獨標識它。

No forks were found.

（如果有fork的話需要將鏈接也貼上并標記是fork）

Yes, there are X forks, and the whole repository of each fork must be deleted:

https://github.com/xxx

htts://github.com/xxx）

**Is the work licensed under an open source license? If so, which open source license? Are the allegedly infringing files being used under the open source license, or are they in violation of the license?**

您的作品是否有開源許可授權(quán)昏翰？ 哪個開源許可苍匆？這些涉嫌侵權(quán)的文件是在開源許可下使用的，還是違反了你的許可呢棚菊？

No, there is no open source license. 如果有開源許可的話浸踩，需要附上開源許可的鏈接，并指出涉嫌侵權(quán)的代碼是違反了許可中的什么規(guī)定

**What would be the best solution for the alleged infringement? Are there specific changes the other person can make other than removal? Can the repository be made private?**

對于所謂的侵權(quán)行為统求，最好的解決辦法是什么?除了刪除检碗，其他人還能做哪些具體的改變?是否可以將存儲庫設(shè)置為私有?

The best possible solution would be to remove the content permanently.

**Do you have the alleged infringer’s contact information? If so, please provide it:**

你有涉嫌侵權(quán)者的聯(lián)絡(luò)資料嗎?如果是，有的話請?zhí)峁?

No, the author didn't provide any valid information.

**Type (or copy and paste) the following statement: "I have a good faith belief that use of the copyrighted materials described above on the infringing web pages is not authorized by the copyright owner, or its agent, or the law. I have taken fair use into consideration."**

輸入(或復制和粘貼)以下聲明:“我有誠意相信码邻，在侵權(quán)網(wǎng)頁上使用上述受版權(quán)保護的材料是未經(jīng)版權(quán)所有者折剃、其代理人或法律授權(quán)的。我考慮過合理使用像屋。

原話輸入即可

**Type (or copy and paste) the following statement: "I swear, under penalty of perjury, that the information in this notification is accurate and that I am the copyright owner, or am authorized to act on behalf of the owner, of an exclusive right that is allegedly infringed."**

輸入(或復制和粘貼)以下聲明:“我宣誓怕犁，在偽證的懲罰下，本通知中的信息是準確的己莺，我是版權(quán)所有人奏甫，或被授權(quán)代表版權(quán)所有人，就涉嫌侵犯的專有權(quán)采取行動凌受。

原話輸入即可

**Please confirm that you have you have read our Guide to Submitting a DMCA Takedown Notice:?https://help.github.com/articles/guide-to-submitting-a-dmca-takedown-notice/**

請確認您已經(jīng)閱讀了我們提交DMCA撤單通知的指南:https://help.github.com/articles/guide-to-submitting-a-dmca-takedown-notice/

Yes, I have read the guide.

**So that we can get back to you, please provide either your telephone number or physical address:**

為方便我們與您聯(lián)系阵子，請?zhí)峁┠碾娫捥柎a或?qū)嶋H地址:

xxx@xx.com

**Please type your full legal name below to sign this request:**

請在輸入您的全名以簽署此請求:

XXXX

DMCA刪除通知郵件模板

Dear github.com,

I, XXX（姓名）, member of security team of （公司名字） and as authorized by （公司名字）, hereby submit the DMCA take down notice as below.

We found that our product core code were leaked on your website.?After careful review of relevant posts, our security team is able to confirm that all these posts contain our source code and confidential information (e.g., system configuration, secret key, database address, etc.)（如果是泄露其他的重要數(shù)據(jù)可以修改這里的距離） that were published without appropriate authorization and thus are infringing.

In consideration of significance and urgency of the aforesaid matters, we request that you pay serious attention to this letter and respond in a timely manner as requested.

The materials infringing company's rights mentioned above are to be found in particular on the following links:

http://github.com/xxx

http://github.com/xxx

http://github.com/xxx

According to the requirements in the Guide to Submitting DMCA Take Down NoticeI render the statements as below:

I have a good faith belief that use of the copyrighted materials described above on the infringing web pages is not authorized by the copyright owner, or its agent, or the law. I have taken fair use into consideration.

I swear, under penalty of perjury, that the information in this notification is accurate and that I am the copyright owner or am authorized to act on behalf of the owner, of an exclusive right that is allegedly infringed.

I confirm that I have read and understand GitHub’s Guide to Filing a DMCA Notice.

If there’s any questions, please feel free to contact me via the information below:

Contact information:

Name: xxx

My e-mail Address: xxx@jiedaibao.com

Cellphone: xxxx

Company Address:?

（公司地址）

Website: （公司網(wǎng)址）

Thank you for your understanding.

三、GitHub敏感數(shù)據(jù)刪除協(xié)議

GitHub上可能會出現(xiàn)密碼泄露或者數(shù)據(jù)泄露的情況胁艰，當這種情況不適用DMCA時款筑，GitHub向受損方提供敏感數(shù)據(jù)刪除協(xié)議。

GitHub定義敏感數(shù)據(jù)為：

敏感數(shù)據(jù)指本應(yīng)保密的內(nèi)容以及其公開可能對個人或組織構(gòu)成特定或有針對性的安全風險的內(nèi)容腾么。敏感數(shù)據(jù)刪除要求適用于：

1奈梳、訪問憑據(jù)：例如用戶名與密碼、訪問令牌或其他敏感機密相結(jié)合解虱，這些機密可以授予對組織的服務(wù)器攘须、網(wǎng)絡(luò)或域的訪問權(quán)。AWS令牌和其他類似的訪問憑據(jù)殴泰，它們授予對第三方的訪問權(quán)于宙，但需要表明該令牌的所屬權(quán)；

2悍汛、對組織構(gòu)成特定安全風險的文檔：例如網(wǎng)絡(luò)圖捞魁。內(nèi)部服務(wù)器名稱、IP地址和url本身不夠敏感离咐，必須能夠顯示在特定文件或代碼段中使用內(nèi)部服務(wù)器名稱會造成安全威脅谱俭。

3.1奉件、如何提交敏感數(shù)據(jù)刪除請求

請求內(nèi)容需要包含：

1、指向包含敏感數(shù)據(jù)的每個文件的可單擊的可用鏈接昆著。

2县貌、每個文件中包含敏感數(shù)據(jù)的特定行號。

3凑懂、簡要描述已標識的每個項如何對您或您的組織構(gòu)成安全風險煤痕。重要的是，您必須解釋數(shù)據(jù)是如何構(gòu)成安全風險的接谨，而不僅僅是說數(shù)據(jù)存在安全風險摆碉。

4、如果您是作為面臨安全風險的組織的代理的第三方疤坝，請?zhí)峁┮环萋暶髡捉猓f明您有權(quán)代表該組織行事。

5跑揉、可選:如果您的請求特別緊急锅睛，請告知原因。我們會盡快回應(yīng)所有敏感的資料移除要求历谍。但是现拒，如果這個請求對時間特別敏感，例如最近的憑證暴露望侈，請解釋原因印蔬。

上方內(nèi)容編輯好以后，通過電子郵件的方式發(fā)送到support@github.com

3.2脱衙、敏感數(shù)據(jù)刪除模板

郵件標題：[urgent]Sensitive data removel request by 公司名字

郵件內(nèi)容：

Dear github.com侥猬，

We are writing this letter on behalf of 公司名字.

We found sensitive data of our company leaked on your website. It contains access credentials which can grant access to our product's nerwork and server.?

Sensitive data found at th following locations:

http://github.com/xxxx? ? ? ? line XX-XX

http://github.com/xxxx? ? ? ? line XX-XX

fork：http://github.com/xxxx

That put us at great risk. Accordingly, we request github.com confirms with author and remove the sensitive data.

Any further inquiries can be directed to us. Please include this message with your inquiry to ensure a quick response.

Contact information:

Name: xxx

My e-mail Address:?xxx@xx.com

Cellphone: xxxx

Company Address:?

（公司地址）

Website:（公司官網(wǎng)）

Thank you for your understanding.

至此，兩個刪除協(xié)議就介紹完了捐韩，多謝閱讀退唠。

參考鏈接：

https://help.github.com/en/articles/dmca-takedown-policy#f-submitting-notices

https://help.github.com/en/articles/github-sensitive-data-removal-policy#sending-a-sensitive-data-removal-reques