SIRT do GitHub: descrição: RFC 2350

Neste artigo

1. Informações do documento

TLP:CLEAR

1.1 Data da última atualização

Versão 1.0, atualizada em 01/10/2023.

1.2 Lista de distribuição para notificações

Não há uma lista de distribuição para alterações neste documento.

1.3 Locais em que este documento pode ser encontrado

A versão atual deste documento pode ser encontrada em:

https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350

2. Informações de contato

2.1 Nome da equipe

SIRT (Equipe de Resposta a Incidentes de Segurança) do GitHub

Subequipes:

  • THOR (Busca, Operações e Resposta a Ameaças)
  • PSIRT (Equipe de Resposta a Incidentes de Segurança do Produto)
  • Recompensas por Bugs

2.2 Endereço

SIRT do Github
88 Colin P. Kelly Jr. St.
São Francisco, CA 94107
Estados Unidos

2.3 Fuso horário

Nossa equipe trabalha principalmente nos Estados Unidos contíguos e segue estes horários:

  • EST/EDT
  • CST/CDT
  • MST/MDT
  • PST/PDT

2.4 Número de telefone

Não disponível.

2.5 Número de fax

Não disponível.

2.6 Outras telecomunicações

Não disponível.

2.7 Endereço de email

security(at)github(dot)com

Isso retransmite o email para a(s) pessoa(s) de plantão na SIRT do GitHub.

2.8 Chaves públicas e informações de criptografia

A SIRT do GitHub tem uma chave pública PGP:

  • ID da chave: 78DCCCE9923E5CFB3CAA5D5AB79DBDA3BE944D9E
  • Expiração da chave: 2025-09-12
-----BEGIN PGP PUBLIC KEY BLOCK-----
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=4+TC
-----END PGP PUBLIC KEY BLOCK-----

2.9 Membros da equipe

A lista de membros da equipe não está disponível publicamente.

2.10 Outras informações

Não disponível.

2.11 Pontos de contato com o cliente

As vulnerabilidades devem ser relatadas a nosso programa de recompensas por bugs:

https://bounty.github.com

Os clientes do GitHub devem entrar em contato com seu gerente de conta ou com o suporte do GitHub para obter suporte e escalonamentos de primeiro nível:

https://support.github.com

Outras comunicações relacionadas à segurança podem ser direcionadas a nosso endereço de email, detalhado na Seção 2.7.

3. Estatuto

3.1 Declaração de missão

O GitHub está comprometido em manter a confidencialidade, a integridade e a disponibilidade de sua plataforma e da propriedade intelectual e das informações pessoais de seus usuários, clientes e funcionários. Para garantir que esses princípios sejam respeitados, o GitHub mantém recursos robustos de gerenciamento de vulnerabilidades, resposta a incidentes e busca de ameaças.

3.2 Público-alvo

Nosso público-alvo é qualquer pessoa ou organização que use um produto ou um serviço do GitHub, bem como funcionários e prestadores de serviço do GitHub e a GitHub Inc.

Alguns exemplos de produtos e serviços do GitHub são:

  • GitHub.com
  • GitHub Enterprise Server
  • GitHub Actions
  • GitHub Desktop
  • GitHub CLI
  • GitHub API
  • npm

3.3 Patrocínio e/ou afiliação

A SIRT do GitHub é uma equipe no GitHub. O financiamento é fornecido pelo GitHub.

3.4 Autoridade

A SIRT do GitHub opera sob a autoridade do Diretor de Segurança do GitHub.

4. Políticas

4.1 Tipos de incidentes e nível de suporte

A SIRT do GitHub está autorizada a resolver todos os tipos de incidentes de segurança de computador que ocorram ou ameacem ocorrer com seu público-alvo.

O nível de suporte depende do tipo e da gravidade do incidente de segurança, do número de entidades afetadas em nosso público-alvo e de nossos recursos no momento.

4.2 Cooperação, interação e divulgação de informações

A SIRT do GitHub faz todos os esforços para compartilhar informações com segurança com as partes afetadas durante situações de resposta a incidentes, respeitando a privacidade e a confiança de nosso público-alvo.

4.3 Comunicação e autenticação

A SIRT do GitHub usa o TLP (Traffic Light Protocol) para compartilhamento de informações.

O email é o método preferencial de comunicação. Todas as informações confidenciais devem ser criptografadas usando a chave PGP da SIRT do GitHub (conforme detalhado na Seção 2.8) antes do envio.

5. Serviços

5.1 Resposta a incidentes

A SIRT do GitHub é responsável pela resposta a incidentes internamente no GitHub quando pelo menos um membro do público-alvo é afetado.

A SIRT do GitHub não fornece serviços de resposta a incidentes para clientes. São feitos todos os esforços para fornecer informações oportunas e precisas aos clientes afetados durante incidentes de segurança, para que eles possam conduzir suas próprias investigações e responder adequadamente. Consulte a seção 2.11 para obter os pontos de contato do cliente.

5.1.1 Triagem de incidentes

A SIRT do GitHub realiza as seguintes atividades para triagem de incidentes:

  • Sinais de segurança são coletados e interpretados a fim de determinar o risco, a gravidade e a prioridade.
  • Investigação sobre se ocorreu um incidente e quais foram seu efeito e impacto.

Essa lista não é exaustiva.

5.1.2 Coordenação de incidentes

A SIRT do GitHub realiza as seguintes atividades para coordenação de incidentes:

  • Análise e conscientização situacional para stakeholders, como equipes de suporte, de engenharia e jurídicas.
  • Função de comando com autoridade para direcionar recursos conforme necessário.
  • Coordenação externa com terceiros afetados ou envolvidos.

Essa lista não é exaustiva.

5.1.3 Resolução de incidentes

A SIRT do GitHub realiza as seguintes atividades para resolução de incidentes:

  • Envolve equipes internas relevantes para erradicar, restaurar e proteger.
  • Coleta e armazenamento de provas para uso interno, bem como potencial envolvimento de autoridades policiais.
  • Notificação ao público-alvo afetado.
  • Autoria de post-mortem, com lições aprendidas e itens de reparo pós-incidente.

Essa lista não é exaustiva.

5.2 Atividades proativas

A SIRT do GitHub desenvolve, mantém e opera ferramentas e técnicas de busca e detecção de ameaças para identificar riscos e ameaças de forma proativa.

Também é feito trabalho de educação, preparação, desenvolvimento de fluxo de trabalho e envolvimento da comunidade.

6. Formulários de relatório de incidentes

Não disponível. Consulte a Seção 2.11 para obter diretrizes sobre relatórios.

7. Avisos de isenção de responsabilidade

Embora todas as precauções sejam tomadas na preparação de informações, notificações e alertas, a SIRT do GitHub não assume nenhuma responsabilidade por erros ou omissões ou por danos resultantes do uso das informações contidas.