1. 문서 정보
TLP:CLEAR
1.1 마지막 업데이트 날짜
버전 1.0, 업데이트 2023년 10월 1일
1.2 알림 배포 목록
이 문서의 변경 내용에 대한 배포 그룹이 없습니다.
1.3 이 문서를 찾을 수 있는 위치
이 문서의 현재 버전은 다음 위치에서 찾을 수 있습니다.
https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350
2. 연락처 정보
2.1 팀 이름
GitHub SIRT(보안 인시던트 대응 팀)
하위 팀:
- THOR(위협 헌팅, 작업 및 대응)
- PSIRT(제품 보안 인시던트 대응 팀)
- 버그 보상금
2.2 주소
GitHub SIRT
88 Colin P. Kelly Jr. St.
San Francisco, CA 94107
미국
2.3 시간대
GitHub 팀은 주로 미국과 인접한 지역에서 작업하며, 다음 시간에 기반합니다.
- EST/EDT
- CST/CDT
- MST/MDT
- PST/PDT
2.4 전화번호
해당되는 사항이 없습니다.
2.5 팩스 번호
해당되는 사항이 없습니다.
2.6 기타 통신
해당되는 사항이 없습니다.
2.7 이메일 주소
security(at)github(dot)com
GitHub SIRT 담당자에게 이메일을 전달합니다.
2.8 공개 키 및 암호화 정보
GitHub SIRT에는 다음과 같은 PGP 공개 키가 있습니다.
- 키 ID:
78DCCCE9923E5CFB3CAA5D5AB79DBDA3BE944D9E - 키 만료:
2025-09-12
-----BEGIN PGP PUBLIC KEY BLOCK-----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=4+TC
-----END PGP PUBLIC KEY BLOCK-----
2.9 팀 구성원
팀 구성원 목록은 공개적으로 제공되지 않습니다.
2.10 기타 정보
해당되는 사항이 없습니다.
2.11 고객 연락처
취약성은 버그 장려금 프로그램에 보고해야 합니다.
GitHub 고객은 첫 번째 수준의 지원 및 에스컬레이션을 위해 계정 관리자 또는 GitHub 지원에 문의해야 합니다.
다른 보안 관련 통신은 섹션 2.7에 나온 이메일 주소로 전달될 수 있습니다.
3. 헌장
3.1 GitHub의 사명
GitHub는 플랫폼의 기밀성, 무결성 및 가용성과 사용자, 고객 및 직원의 지적 재산권과 개인 정보를 유지 관리하는 데 최선을 다하고 있습니다. GitHub는 이 원칙을 지키기 위해 강력한 취약성 관리, 인시던트 대응 및 위협 헌팅 기능을 유지 관리합니다.
3.2 구성
GitHub는 GitHub 제품 또는 서비스를 사용하는 개인이나 조직, 그리고 GitHub 직원, 계약자 및 GitHub Inc.로 구성되어 있습니다.
다음은 GitHub 제품 및 서비스에 대한 몇 가지 예입니다.
- GitHub.com
- GitHub Enterprise Server
- GitHub Actions
- GitHub Desktop
- GitHub CLI
- GitHub API
- npm
3.3 후원 및/또는 제휴
GitHub SIRT는 GitHub 내 팀입니다. 운영 자금은 GitHub에서 제공됩니다.
3.4 권한
GitHub SIRT는 GitHub의 최고 보안 책임자 권한에 따라 운영됩니다.
4. 정책
4.1 인시던트 유형 및 지원 수준
GitHub SIRT는 GitHub 구성 내에서 발생하거나 발생할 수 있는 모든 유형의 컴퓨터 보안 인시던트를 처리할 권한이 있습니다.
지원 수준은 지정된 보안 인시던트의 유형과 심각도, GibHut 구성 내 영향을 받는 엔터티 수, 그리고 해당 시점의 GitHut 리소스에 따라 달라집니다.
4.2 정보에 대한 공동 작업, 상호 작용 및 공개
GitHub SIRT는 인시던트 대응 상황에서 GitHub 구성원의 프라이버시와 신뢰를 존중하며 영향을 받는 당사자와 안전하게 정보를 공유하기 위해 모든 노력을 기울입니다.
4.3 통신 및 인증
GitHub SIRT는 정보 공유를 위해 TLP(Traffic Light Protocol)를 사용합니다.
선호되는 통신 방법은 이메일입니다. 모든 중요한 정보는 보내기 전에 GitHub SIRT PGP 키(섹션 2.8 참조)를 사용하여 암호화해야 합니다.
5. 서비스
5.1 인시던트 대응
GitHub SIRT는 하나 이상의 GitHub 구성원이 영향을 받는 인시던트를 GitHub 내부에서 대응할 책임이 있습니다.
GitHub SIRT는 고객을 대상으로 하는 인시던트 대응 서비스를 제공하지 않습니다. 단, 보안 인시던트가 발생한 동안 영향을 받는 고객에게 시기 적절하고 정확한 정보를 제공하여 고객이 자체적으로 조사하고 적절하게 대응할 수 있도록 모든 노력을 기울입니다. 고객 담당자는 섹션 2.11을 참조하세요.
5.1.1 인시던트 심사
GitHub SIRT는 인시던트 심사를 위해 다음 활동을 수행합니다.
- 위험, 심각도 및 우선순위를 결정하기 위해 보안 신호를 수집 및 해석합니다.
- 인시던트 발생 여부와 영향에 관한 조사를 수행합니다.
현재 이 목록은 완전한 목록이 아닙니다.
5.1.2 인시던트 조정
GitHub SIRT는 인시던트 조정을 위해 다음 활동을 수행합니다.
- 엔지니어링, 법률 및 지원 팀과 같은 이해 관계자에 대한 상황 인식 및 분석을 수행합니다.
- 필요한 경우 리소스를 지정할 권한이 있는 지시 역할을 담당합니다.
- 영향을 받거나 관련된 제3자와의 외부 조정을 수행합니다.
현재 이 목록은 완전한 목록이 아닙니다.
5.1.3 인시던트 해결
GitHub SIRT는 인시던트 해결을 위해 다음 활동을 수행합니다.
- 위협 근절, 복원 및 보안을 위해 관련 내부 팀을 참여시킵니다.
- 내부 사용 및 잠재적인 법 집행 개입을 위해 증거를 수집 및 저장합니다.
- 영향을 받는 구성원에게 알림을 전달합니다.
- 진행 중 얻은 개선 사항과 인시던트 후 복구 항목을 사용하여 향후 작성을 수행합니다.
현재 이 목록은 완전한 목록이 아닙니다.
5.2 선제적 활동
GitHub SIRT는 위협 헌팅 및 탐지 도구와 기술을 개발, 유지 관리 및 운영하여 위험과 위협을 선제적으로 식별합니다.
교육, 준비, 워크플로 개발 및 커뮤니티 활동도 수행합니다.
6. 인시던트 보고 양식
해당되는 사항이 없습니다. 보고 지침은 섹션 2.11을 검토하세요.
7. 고지 사항
정보, 알림 및 경고를 준비하며 모든 예방 조치를 시행하지만, GitHub SIRT는 오류 또는 누락 또는 포함된 정보의 사용으로 인한 손해에 대해 책임을지지 않습니다.