Skip to main content

GitHub SIRT の説明 RFC 2350

1. ドキュメント情報

TLP:CLEAR

1.1 最終更新日:

2023 年 10 月 1 日 にバージョン 1.0 が更新されました。

1.2 通知の配布リスト

このドキュメントに変更用の配布リストはありません。

1.3 本ドキュメントが見つかる可能性のある場所

このドキュメントの現在のバージョンは、次の場所にあります。

https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350

2. 連絡先情報

2.1 チームの名前

GitHub セキュリティ インシデント対応チーム (SIRT)

サブチーム:

  • 脅威追求、運用、および応答 (THOR)
  • 製品セキュリティ インシデント対応チーム (PSIRT)
  • バグ報奨金

2.2 アドレス

GitHub SIRT 88 Colin P. Kelly Jr. St. San Francisco, CA 94107 United States

2.3 タイム ゾーン

チームは主に米国本土で、次の時間に勤務しています。

  • EST/EDT
  • CST/CDT
  • MST/MDT
  • PST/PDT

2.4 電話番号

使用できるものはありません。

2.5 FAX 番号

使用できるものはありません。

2.6 その他の電気通信

使用できるものはありません。

2.7 電子メール アドレス

security(at)github(dot)com

これにより、GitHub SIRT の勤務中の人物に電子メールが受け継がれます。

2.8 公開キーと暗号化情報

GitHub SIRT には PGP 公開キーがあります。

  • キー ID: 78DCCCE9923E5CFB3CAA5D5AB79DBDA3BE944D9E
  • キーの有効期限: 2025-09-12
-----BEGIN PGP PUBLIC KEY BLOCK-----

mDMEZQHKOxYJKwYBBAHaRw8BAQdAzvtu6OfJTspbWTVVU2uDeljmfEr1qYkvD25w
NKB2twq0JUdpdEh1YiBTZWN1cml0eSA8c2VjdXJpdHlAZ2l0aHViLmNvbT6ImQQT
FgoAQRYhBHjczOmSPlz7PKpdWredvaO+lE2eBQJlAco7AhsDBQkDwmcABQsJCAcC
AiICBhUKCQgLAgQWAgMBAh4HAheAAAoJELedvaO+lE2e1voA/31lJyof7nWI1Mxs
x3MHhwp5sFh2P/pFucuNKb7ciwMMAQCCAk39cSFs2WWw8aZC7lqXNJcFiMn0r+wm
i6I3pWjiA7g4BGUByjsSCisGAQQBl1UBBQEBB0C0jKXWh6G8atXCJi2xsy71+NzX
0Y2WN8yj3f59MGHYfAMBCAeIfgQYFgoAJhYhBHjczOmSPlz7PKpdWredvaO+lE2e
BQJlAco7AhsMBQkDwmcAAAoJELedvaO+lE2eozABAIbzLwvaACiKFzXYjp9Zpenv
GEHeqggLGzHpEheyoBMkAP96NI0kzYvj+zhJZ/4Y3TIDZaOD8OXezwia9E2Bxf5O
Aw==
=4+TC
-----END PGP PUBLIC KEY BLOCK-----

2.9 チーム メンバー

チーム メンバーのリストは一般公開されていません。

2.10 その他の情報

使用できるものはありません。

2.11 顧客の連絡先

脆弱性は、次のバグ報奨金プログラムに報告する必要があります。

https://bounty.github.com

GitHub のお客様は、第 1 レベルのサポートとエスカレーションについて、次のアカウント担当者または GitHub サポートにお問い合わせください。

https://support.github.com

その他のセキュリティ関連のコミュニケーションは、セクション 2.7 で詳しく説明されているメール アドレスに送信できます。

3. チャーター

3.1 ミッション ステートメント

GitHub は、プラットフォームと、ユーザー、顧客、従業員の知的財産権と個人情報の両方の機密性、整合性、可用性をメインに保持することに取り組んでいます。 これらの原則が確実に守られるようにするために、GitHub は堅牢な脆弱性の管理、インシデント対応、脅威追求機能を維持しています。

3.2 購買者層

購買者層は、GitHub の製品またはサービス、および GitHub の従業員、請負業者、および GitHub Inc を使用する個人または組織です。

GitHub の製品とサービスの例を次に示します。

  • GitHub.com
  • GitHub Enterprise Server
  • GitHub Actions
  • GitHub Desktop
  • GitHub CLI
  • GitHub API
  • npm

3.3 スポンサーおよび/または所属

GitHub SIRT は GitHub 内のチームです。 資金は GitHub によって提供されます。

3.4 権限

GitHub SIRT は、GitHub の最高セキュリティ責任者の権限の下で運営されています。

4. ポリシー

4.1 インシデントの種類とサポートレベル

GitHub SIRT は、その購買者層内で発生する、または発生する恐れのあるあらゆる種類のコンピューター セキュリティ インシデントに対応する権限を与えられます。

サポートのレベルは、特定のセキュリティ インシデントの種類と重大度、購買者層内の影響を受けるエンティティの数、および当時のリソースによって異なります。

4.2 情報の共同運営、対話、開示

GitHub SIRT は、インシデント対応の状況で、関係者のプライバシーと信頼を尊重しながら、影響を受ける関係者と安全かつセキュアに情報を共有するためにあらゆる努力を払っています。

4.3 通信および認証

GitHub SIRT では、情報共有にトラフィック ライト プロトコル (TLP) を使用します。

E メールは、推奨される通信方法です。 すべての機密情報は、送信前に GitHub の SIRT PGP キー (セクション 2.8 にて詳しく説明) を使用して暗号化する必要があります。

5. サービス

5.1 インシデント対応

GitHub SIRT は、GitHub にて内部でインシデント対応を担当します。GitHub では、少なくとも 1 人のスタッフが影響を受けます。

GitHub SIRT では、顧客に対してインシデント対応サービスは提供されません。 影響を受けるお客様が独自の調査を行い、適切に対応できるように、セキュリティ インシデントの発生時にタイムリーかつ正確な情報を提供するため、あらゆる努力が行われます。 顧客の連絡先については、セクション 2.11 を参照してください。

5.1.1 インシデント トリアージ

GitHub SIRT は、インシデント トリアージに対して次のアクティビティを実行します。

  • セキュリティ シグナルは、リスク、重大度、優先度を決定するために収集および解釈されます。
  • インシデントが発生したかどうか、およびその影響と重大度に関する調査。

このリストは全てを網羅しているわけではありません。

5.1.2 インシデント調整

GitHub SIRT は、インシデント調整のために次のアクティビティを実行します。

  • エンジニアリング、法務、サポート チームなどの利害関係者に対する状況認識と分析。
  • 必要に応じて、リソースを指示する権限を持つコマンド ロール。
  • 影響を受ける、または関連する第三者との外部の調整。

このリストは全てを網羅しているわけではありません。

5.1.3 インシデントの解決

GitHub SIRT は、インシデント解決のため、次のアクティビティを実行します。

  • 関連する内部チームと連携して、根絶、復元、セキュリティ保護を行います。
  • 内部での使用、および潜在的な法執行機関が関与するための証拠収集と保管。
  • 影響を受ける購買者層への通知。
  • 得られた経験とインシデント後の復元項目を使用した、事後分析作成。

このリストは全てを網羅しているわけではありません。

5.2 プロアクティブな活動

GitHub SIRT は、リスクと脅威をプロアクティブに特定するための脅威ハンティングおよび検出ツールと技術を開発、保守、運用します。

また、教育、準備、ワークフロー開発、コミュニティのアウトリーチにも取り組んでいます。

6. インシデントレポート フォーム

使用できるものはありません。 レポートのガイダンスについては、セクション 2.11 を参照してください。

7. 免責事項

情報、通知、アラートの準備にはあらゆる予防措置が講じられますが、GitHub SIRT では、エラーや省略、または内部に含まれる情報の使用に起因する損害に対して一切の責任を負いません。