Descripción de SIRT de GitHub RFC 2350

En este artículo

1. Información del documento

TLP:CLEAR

1.1 Fecha de la última actualización

Versión 1.0, actualizada 2023-10-01.

1.2 Lista de distribución para notificaciones

No hay ninguna lista de distribución para los cambios realizados en este documento.

1.3 Ubicaciones donde se puede encontrar este documento

La versión actual de este documento se puede encontrar en:

https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350

2. Información de contacto

2.1 Nombre del equipo

Equipo de respuesta a incidentes de seguridad de GitHub (SIRT)

Subequipos:

  • Búsqueda de amenazas, operaciones y respuesta (THOR)
  • Equipo de respuesta a incidentes de seguridad del producto (PSIRT)
  • Recompensas por la detección de errores

2.2 Dirección

SIRT de GitHub
Calle Colin P. Kelly Jr. 88
San Francisco, CA 94107
Estados Unidos

2.3 Zona horaria

Nuestro equipo trabaja principalmente en los Estados Unidos contiguos y mantiene estas horas:

  • EST/EDT
  • CST/CDT
  • MST/MDT
  • PST/PDT

2.4 Número de teléfono

Ninguno disponible.

2.5 Número de facsímil

Ninguno disponible.

2.6 Otras telecomunicaciones

Ninguno disponible.

2.7 Dirección de correo electrónico

security(at)github(dot)com

Esto retransmite el correo electrónico al/los humano(s) en servicio para el SIRT deGitHub.

2.8 Claves públicas e información de cifrado

El SIRT de GitHub tiene una clave pública PGP:

  • Id. clave: 78DCCCE9923E5CFB3CAA5D5AB79DBDA3BE944D9E
  • Expiración de la clave: 2025-09-12
-----BEGIN PGP PUBLIC KEY BLOCK-----
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=4+TC
-----END PGP PUBLIC KEY BLOCK-----

2.9 Miembros del equipo

La lista de miembros del equipo no está disponible públicamente.

2.10 Otra información

Ninguno disponible.

2.11 Puntos de contacto del cliente

Las vulnerabilidades deben notificarse a nuestro programa de recompensas de errores:

https://bounty.github.com

Los clientes de GitHub deben ponerse en contacto con el gestor de cuentas o el soporte técnico de GitHub para obtener soporte técnico y escalaciones de primer nivel:

https://support.github.com

Otras comunicaciones relacionadas con la seguridad se pueden dirigir a nuestra dirección de correo electrónico detallada en la sección 2.7.

3. Carta

3.1 Instrucción de objetivos

GitHub se compromete a mantener la confidencialidad, integridad y disponibilidad tanto de su plataforma como de la propiedad intelectual y la información personal de sus usuarios, clientes y empleados. Para asegurarse de que se mantienen estos principios, GitHub mantiene una sólida administración de vulnerabilidades, respuesta a incidentes y funcionalidades de búsqueda de amenazas.

3.2 Circunscripción

Nuestra circunscripción es cualquier persona u organización que use un producto o servicio de GitHub, así como empleados, contratistas y GitHub Inc.

Algunos ejemplos de productos y servicios de GitHub son:

  • GitHub.com
  • Servidor GitHub Enterprise
  • Acciones de GitHub
  • GitHub Desktop
  • CLI de GitHub
  • API de GitHub
  • npm

3.3 Patrocinio y/o afiliación

SIRT de GitHub es un equipo dentro de GitHub. GitHub proporciona financiación.

3.4 Autoridad

SIRT de GitHub funciona bajo la autoridad del responsable de seguridad de GitHub.

4. Directivas

4.1 Tipos de incidentes y nivel de soporte técnico

SIRT de GitHub está autorizado para abordar todos los tipos de incidentes de seguridad de equipos que se producen, o amenazan, dentro de su circunscripción.

El nivel de soporte técnico depende del tipo y la gravedad del incidente de seguridad especificado, del número de entidades afectadas dentro de nuestra circunscripción y de nuestros recursos en el momento.

4.2 Cooperación, interacción y revelación de información

SIRT de GitHub hace todo el trabajo para compartir información de forma segura y fiable con las partes afectadas durante las situaciones de respuesta a incidentes, al tiempo que respeta la privacidad y la confianza de nuestros constituyentes.

4.3 Comunicación y autenticación

SIRT de GitHub usa el Protocolo de semáforos (TLP) para compartir información.

El método preferido de comunicación es el correo electrónico. Toda la información confidencial debe cifrarse con la clave PGP de SIRT de GitHub (como se detalla en la sección 2.8) antes del envío.

5. Servicios

5.1 Respuesta ante incidentes

SIRT de GitHub es responsable de la respuesta a incidentes internamente en GitHub, donde al menos un miembro constituyente se ve afectado.

SIRT de GitHub no proporciona servicios de respuesta a incidentes para los clientes. Cada trabajo se realiza para proporcionar información oportuna y precisa durante los incidentes de seguridad a los clientes afectados para que puedan realizar sus propias investigaciones y responder adecuadamente. Consulte la sección 2.11 para los puntos de contacto del cliente.

5.1.1 Evaluación de prioridades de incidentes

SIRT de GitHub lleva a cabo las siguientes actividades para la evaluación de prioridades de incidentes:

  • Las señales de seguridad se recopilan e interpretan para determinar el riesgo, la gravedad y la prioridad.
  • Investigación sobre si se produjo un incidente y cuál fue su efecto y su impacto.

Esta lista no es exhaustiva.

5.1.2 Coordinación de incidentes

SIRT de GitHub lleva a cabo las siguientes actividades para la coordinación de incidentes:

  • Conciencia situacional y análisis de situaciones para las partes interesadas, como los equipos de ingeniería, legal y soporte técnico.
  • Rol de comando con autoridad para dirigir los recursos según sea necesario.
  • Coordinación externa con terceros afectados o implicados.

Esta lista no es exhaustiva.

5.1.3 Resolución de incidentes

SIRT de GitHub lleva a cabo las siguientes actividades para la resolución de incidentes:

  • Involucra a los equipos internos pertinentes para erradicar, restaurar y proteger.
  • Recopilación y almacenamiento de evidencias para uso interno, así como la posible participación en la aplicación de la ley.
  • Notificación a los componentes afectados.
  • Creación postmortem con lecciones aprendidas y artículos de reparación posteriores al incidente.

Esta lista no es exhaustiva.

5.2 Actividades proactivas

SIRT de GitHub desarrolla, mantiene y opera herramientas y técnicas de detección de amenazas para identificar de forma proactiva riesgos y amenazas.

El trabajo también se realiza en educación, preparación, desarrollo de flujos de trabajo y difusión comunitaria.

6. Formularios de informes de incidentes

Ninguno disponible. Revise la sección 2.11 para obtener instrucciones de informes.

7. Aviso de declinación de responsabilidades

Aunque todas las precauciones se tomarán en la preparación de la información, las notificaciones y las alertas, SIRT deGitHub no asume ninguna responsabilidad por errores u omisiones, o por daños resultantes del uso de la información contenida.