1. Informações do documento
TLP:CLEAR
1.1 Data da última atualização
Versão 1.0, atualizada em 01/10/2023.
1.2 Lista de distribuição para notificações
Não há uma lista de distribuição para alterações neste documento.
1.3 Locais em que este documento pode ser encontrado
A versão atual deste documento pode ser encontrada em:
https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350
2. Informações de contato
2.1 Nome da equipe
SIRT (Equipe de Resposta a Incidentes de Segurança) do GitHub
Subequipes:
- THOR (Busca, Operações e Resposta a Ameaças)
- PSIRT (Equipe de Resposta a Incidentes de Segurança do Produto)
- Recompensas por Bugs
2.2 Endereço
GitHub SIRT 88 Colin P. Kelly Jr. St. San Francisco, CA 94107 Estados Unidos
2.3 Fuso horário
Nossa equipe trabalha principalmente nos Estados Unidos contíguos e segue estes horários:
- EST/EDT
- CST/CDT
- MST/MDT
- PST/PDT
2.4 Número de telefone
Não disponível.
2.5 Número de fax
Não disponível.
2.6 Outras telecomunicações
Não disponível.
2.7 Endereço de email
security(at)github(dot)com
Isso retransmite o email para a(s) pessoa(s) de plantão na SIRT do GitHub.
2.8 Chaves públicas e informações de criptografia
A SIRT do GitHub tem uma chave pública PGP:
- ID da chave:
78DCCCE9923E5CFB3CAA5D5AB79DBDA3BE944D9E
- Expiração da chave:
2025-09-12
-----BEGIN PGP PUBLIC KEY BLOCK-----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=4+TC
-----END PGP PUBLIC KEY BLOCK-----
2.9 Membros da equipe
A lista de membros da equipe não está disponível publicamente.
2.10 Outras informações
Não disponível.
2.11 Pontos de contato com o cliente
As vulnerabilidades devem ser relatadas a nosso programa de recompensas por bugs:
Os clientes do GitHub devem entrar em contato com seu gerente de conta ou com o suporte do GitHub para obter suporte e escalonamentos de primeiro nível:
Outras comunicações relacionadas à segurança podem ser direcionadas a nosso endereço de email, detalhado na Seção 2.7.
3. Estatuto
3.1 Declaração de missão
O GitHub está comprometido em manter a confidencialidade, a integridade e a disponibilidade de sua plataforma e da propriedade intelectual e das informações pessoais de seus usuários, clientes e funcionários. Para garantir que esses princípios sejam respeitados, o GitHub mantém recursos robustos de gerenciamento de vulnerabilidades, resposta a incidentes e busca de ameaças.
3.2 Público-alvo
Nosso público-alvo é qualquer pessoa ou organização que use um produto ou um serviço do GitHub, bem como funcionários e prestadores de serviço do GitHub e a GitHub Inc.
Alguns exemplos de produtos e serviços do GitHub são:
- GitHub.com
- GitHub Enterprise Server
- GitHub Actions
- GitHub Desktop
- GitHub CLI
- GitHub API
- npm
3.3 Patrocínio e/ou afiliação
A SIRT do GitHub é uma equipe no GitHub. O financiamento é fornecido pelo GitHub.
3.4 Autoridade
A SIRT do GitHub opera sob a autoridade do Diretor de Segurança do GitHub.
4. Políticas
4.1 Tipos de incidentes e nível de suporte
A SIRT do GitHub está autorizada a resolver todos os tipos de incidentes de segurança de computador que ocorram ou ameacem ocorrer com seu público-alvo.
O nível de suporte depende do tipo e da gravidade do incidente de segurança, do número de entidades afetadas em nosso público-alvo e de nossos recursos no momento.
4.2 Cooperação, interação e divulgação de informações
A SIRT do GitHub faz todos os esforços para compartilhar informações com segurança com as partes afetadas durante situações de resposta a incidentes, respeitando a privacidade e a confiança de nosso público-alvo.
4.3 Comunicação e autenticação
A SIRT do GitHub usa o TLP (Traffic Light Protocol) para compartilhamento de informações.
O email é o método preferencial de comunicação. Todas as informações confidenciais devem ser criptografadas usando a chave PGP da SIRT do GitHub (conforme detalhado na Seção 2.8) antes do envio.
5. Serviços
5.1 Resposta a incidentes
A SIRT do GitHub é responsável pela resposta a incidentes internamente no GitHub quando pelo menos um membro do público-alvo é afetado.
A SIRT do GitHub não fornece serviços de resposta a incidentes para clientes. São feitos todos os esforços para fornecer informações oportunas e precisas aos clientes afetados durante incidentes de segurança, para que eles possam conduzir suas próprias investigações e responder adequadamente. Consulte a seção 2.11 para obter os pontos de contato do cliente.
5.1.1 Triagem de incidentes
A SIRT do GitHub realiza as seguintes atividades para triagem de incidentes:
- Sinais de segurança são coletados e interpretados a fim de determinar o risco, a gravidade e a prioridade.
- Investigação sobre se ocorreu um incidente e quais foram seu efeito e impacto.
Essa lista não é exaustiva.
5.1.2 Coordenação de incidentes
A SIRT do GitHub realiza as seguintes atividades para coordenação de incidentes:
- Análise e conscientização situacional para stakeholders, como equipes de suporte, de engenharia e jurídicas.
- Função de comando com autoridade para direcionar recursos conforme necessário.
- Coordenação externa com terceiros afetados ou envolvidos.
Essa lista não é exaustiva.
5.1.3 Resolução de incidentes
A SIRT do GitHub realiza as seguintes atividades para resolução de incidentes:
- Envolve equipes internas relevantes para erradicar, restaurar e proteger.
- Coleta e armazenamento de provas para uso interno, bem como potencial envolvimento de autoridades policiais.
- Notificação ao público-alvo afetado.
- Autoria de post-mortem, com lições aprendidas e itens de reparo pós-incidente.
Essa lista não é exaustiva.
5.2 Atividades proativas
A SIRT do GitHub desenvolve, mantém e opera ferramentas e técnicas de busca e detecção de ameaças para identificar riscos e ameaças de forma proativa.
Também é feito trabalho de educação, preparação, desenvolvimento de fluxo de trabalho e envolvimento da comunidade.
6. Formulários de relatório de incidentes
Não disponível. Consulte a Seção 2.11 para obter diretrizes sobre relatórios.
7. Avisos de isenção de responsabilidade
Embora todas as precauções sejam tomadas na preparação de informações, notificações e alertas, a SIRT do GitHub não assume nenhuma responsabilidade por erros ou omissões ou por danos resultantes do uso das informações contidas.