Beschreibung des GitHub SIRT RFC 2350

In diesem Artikel

1. Informationen zum Dokument

TLP:CLEAR

1.1 Datum der letzten Aktualisierung

Version 1.0, aktualisiert am 01.10.2023.

1.2 Verteilerliste für Benachrichtigungen

Es gibt keine Verteilerliste für Änderungen an diesem Dokument.

1.3 Orte, an denen dieses Dokument zu finden ist

Die aktuelle Version dieses Dokuments finden Sie unter:

https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350

2. Kontaktinformationen

2.1 Name des Teams

GitHub Security Incident Response Team (SIRT)

Unterteams:

  • Threat Hunting, Operations, and Response (THOR)
  • Product Security Incident Response Team (PSIRT)
  • Bug Bounty

2.2 Adresse

GitHub SIRT
88 Colin P. Kelly Jr. St.
San Francisco, CA 94107
Vereinigte Staaten

2.3 Zeitzone

Unser Team arbeitet hauptsächlich in den zusammenhängenden Vereinigten Staaten zu den folgenden Zeiten:

  • EST/EDT
  • CST/CDT
  • MST/MDT
  • PST/PDT

2.4 Telefonnummer

Nicht verfügbar.

2.5 Telefaxnummer

Nicht verfügbar.

2.6 Sonstige Telekommunikation

Nicht verfügbar.

2.7 E-Mail-Adresse

security(at)github(dot)com

Die E-Mails werden dann an die diensthabende(n) Person(en) von GitHub SIRT weitergeleitet.

2.8 Informationen zu öffentlichen Schlüsseln und Verschlüsselung

GitHub SIRT verfügt über einen öffentlichen PGP-Schlüssel:

  • Schlüssel-ID: 78DCCCE9923E5CFB3CAA5D5AB79DBDA3BE944D9E
  • Ablauf des Schlüssels: 2025-09-12
-----BEGIN PGP PUBLIC KEY BLOCK-----
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=4+TC
-----END PGP PUBLIC KEY BLOCK-----

2.9 Teammitglieder

Die Liste der Teammitglieder ist nicht öffentlich verfügbar.

2.10 Sonstige Informationen

Nicht verfügbar.

2.11 Anlaufstellen für den Kundenkontakt

Sicherheitsrisiken sollten über unser Bug-Bounty-Programm gemeldet werden:

https://bounty.github.com

GitHub-Kunden sollten sich zwecks First-Level-Support und Eskalationen an ihren Kundenbetreuer oder den GitHub-Support wenden:

https://support.github.com

Andere sicherheitsbezogene Mitteilungen können an die im Abschnitt 2.7 angegebene E-Mail-Adresse gerichtet werden.

3. Grundsätze

3.1 Leitbild

GitHub verpflichtet sich zur Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit sowohl der Plattform als auch des geistigen Eigentums und der personenbezogenen Daten der Benutzer, Kunden und Mitarbeiter. Damit diese Grundsätze gewahrt werden können, unterhält GitHub stabile Funktionen für Sicherheitsrisikomanagement, Vorfallsreaktion und Bedrohungssuche.

3.2 Zuständigkeitsbereich

In unseren Zuständigkeitsbereich fallen alle Personen oder Organisationen, die ein GitHub-Produkt oder einen GitHub-Dienst nutzen, sowie GitHub-Mitarbeiter, Auftragnehmer und GitHub Inc.

Einige Beispiele für GitHub-Produkte und -Dienste sind:

  • GitHub.com
  • GitHub Enterprise Server
  • GitHub Actions
  • GitHub Desktop
  • GitHub CLI
  • GitHub API
  • npm

3.3 Sponsoring und/oder Zugehörigkeit

GitHub SIRT ist ein zu GitHub gehöriges Team. Seine Mittel werden von GitHub aufgebracht.

3.4 Aufsicht

GitHub SIRT ist unter der Aufsicht des Chief Security Officer von GitHub tätig.

4. Richtlinien

4.1 Arten von Vorfällen und Support-Level

GitHub SIRT ist befugt, sich mit Computersicherheitsvorfällen aller Art zu befassen, die sich innerhalb seines Zuständigkeitsbereichs ereignen oder zu ereignen drohen.

Der Support-Level hängt von der Art und vom Schweregrad des betreffenden Sicherheitsvorfalls, der Anzahl der betroffenen Entitäten innerhalb unseres Zuständigkeitsbereichs und unseren jeweiligen Ressourcen ab.

4.2 Zusammenarbeit, Interaktion und Offenlegung von Informationen

GitHub SIRT setzt alles daran, während der Vorfallsreaktion Informationen sicher mit betroffenen Parteien auszutauschen und dabei dem Datenschutz und dem Vertrauen der Angehörigen unseres Zuständigkeitsbereichs gerecht zu werden.

4.3 Kommunikation und Authentifizierung

GitHub SIRT setzt für den Informationsaustausch das Traffic Light Protocol (TLP) ein.

E-Mails sind die bevorzugte Kommunikationsmethode. Alle vertraulichen Informationen sollten vor dem Senden mit dem PGP-Schlüssel von GitHub SIRT (laut Abschnitt 2.8) verschlüsselt werden.

5. Dienste

5.1 Reaktion auf Vorfälle

GitHub SIRT ist intern bei GitHub für die Reaktion auf Vorfälle verantwortlich, von denen mindestens ein Angehöriger des Zuständigkeitsbereichs betroffen ist.

GitHub SIRT erbringt keine Vorfallsreaktionsdienste für Kunden. Es werden alle Anstrengungen unternommen, um den Kunden während Sicherheitsvorfällen zeitgerechte und korrekte Informationen zu übermitteln, damit sie ihre eigenen Untersuchungen durchführen und entsprechend reagieren können. Die Anlaufstellen für den Kundenkontakt sind in Abschnitt 2.11 zu finden.

5.1.1 Triage von Vorfällen

Tätigkeiten von GitHub SIRT zur Triage von Vorfällen:

  • Zum Bestimmen von Risiko, Schweregrad und Priorität werden Sicherheitssignale erfasst und ausgewertet.
  • Es wird untersucht, ob sich ein Vorfall ereignet hat und welche Auswirkungen er hatte.

Diese Liste ist nicht vollständig.

5.1.2 Koordination von Vorfällen

Tätigkeiten von GitHub SIRT zur Koordination von Vorfällen:

  • Situative Sensibilität und Analyse für die Beteiligten, wie z. B. die Teams für Technik, Rechtswesen und Support.
  • Rolle mit Weisungsbefugnis zum Zuteilen von Ressourcen nach Bedarf.
  • Externe Koordination mit betroffenen oder involvierten Dritten.

Diese Liste ist nicht vollständig.

5.1.3 Behebung von Vorfällen

Tätigkeiten von GitHub SIRT zur Behebung von Vorfällen:

  • Einbeziehung maßgeblicher interner Teams zum Ausmerzen, Wiederherstellen und Sichern.
  • Sammeln und Speichern von Nachweisen für den internen Gebrauch sowie für den Fall einer möglichen Einbeziehung in Strafverfolgungsmaßnahmen.
  • Benachrichtigung der betroffenen Angehörigen des Zuständigkeitsbereichs.
  • Nachträgliche Aufzeichnung der gesammelten Erfahrungen und der nach dem Vorfall ergriffenen Korrekturmaßnahmen.

Diese Liste ist nicht vollständig.

5.2 Proaktive Tätigkeiten

GitHub SIRT entwickelt, pflegt und betreibt Tools und Techniken für die Bedrohungssuche und Erkennung, mit denen Risiken und Bedrohungen proaktiv ermittelt werden können.

Das Team arbeitet auch in den Bereichen Bildung, Vorbereitung, Workflow-Entwicklung und Community.

6. Formulare zum Melden von Vorfällen

Nicht verfügbar. Anweisungen für Meldungen finden Sie im Abschnitt 2.11.

7. Haftungsausschluss

GitHub SIRT geht bei der Vorbereitung von Informationen, Benachrichtigungen und Warnungen mit der gebotenen Sorgfalt vor, übernimmt aber keine Verantwortung für Fehler oder Auslassungen oder für Schäden, die sich aus der Nutzung der darin enthaltenen Informationen ergeben.