1. Сведения о документе
TLP:CLEAR
1.1 Дата последнего обновления
Версия 1.0, обновленная 01.10.2023.
1.2 Список рассылки уведомлений
Список рассылки уведомлений об изменениях в этом документе отсутствует.
1.3 Расположения, в которых можно найти этот документ
Текущая версия этого документа доступна по такой ссылке:
https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350
2. Контактные данные
2.1 Название команды
Группа реагирования на инциденты безопасности GitHub (SIRT)
Подкоманды:
- Группа, занимающаяся охотой на угрозы и реагированием на них (THOR)
- Группа реагирования на инциденты, связанные с безопасностью продуктов (PSIRT)
- Программа Bug Bounty
2.2 Адрес
GitHub SIRT
88 Colin P. Kelly Jr. St.
San Francisco, CA 94107
United States (США)
2.3 Часовой пояс
Наша команда в основном работает на территории континентальных США и придерживается следующего времени:
- EST/EDT
- CST/CDT
- MST/MDT
- PST/PDT
2.4 Номер телефона
Недоступно.
2.5 Факс
Недоступно.
2.6 Другие каналы связи
Недоступно.
2.7 Адрес электронной почты
security(at)github(dot)com
Электронные письма передаются дежурному сотруднику (сотрудникам) GitHub SIRT.
2.8 Открытые ключи и сведения о шифровании
GitHub SIRT имеет открытый ключ PGP:
- Идентификатор ключа:
78DCCCE9923E5CFB3CAA5D5AB79DBDA3BE944D9E - Срок действия ключа:
2025-09-12
-----BEGIN PGP PUBLIC KEY BLOCK-----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=4+TC
-----END PGP PUBLIC KEY BLOCK-----
2.9 Участники группы
Список участников группы недоступен.
2.10 Другие сведения
Недоступно.
2.11 Контактные лица
Об уязвимостях следует сообщать через нашу программу Bounty Program:
Клиентам GitHub следует обращаться к своему менеджеру по работе с клиентами или в службу поддержки GitHub для получения поддержки первого уровня и эскалации:
Другие связанные с безопасностью сообщения можно отправлять на адрес электронной почты, указанный в разделе 2.7.
3. Устав
3.1 Миссия
GitHub стремится обеспечить конфиденциальность, целостность и доступность как своей платформы, так и интеллектуальной собственности, а также личной информации своих пользователей, клиентов и сотрудников. Чтобы обеспечить соблюдение этих принципов, GitHub использует надежные средства управления уязвимостями, реагирования на инциденты и охоты на угрозы.
3.2 Круг заинтересованных лиц
В круг заинтересованных лиц входят все люди или организации, использующие продукты либо службы GitHub, а также сотрудники GitHub, подрядчики и GitHub Inc.
Ниже приведены некоторые примеры продуктов и служб GitHub:
- GitHub.com
- GitHub Enterprise Server
- GitHub Actions
- GitHub Desktop
- GitHub CLI
- GitHub API
- npm
3.3 Спонсорство и/или принадлежность
GitHub SIRT — это команда в GitHub. Финансирование предоставляется GitHub.
3.4 Управление
GitHub SIRT работает под руководством главного директора по безопасности GitHub.
4. Политики
4.1 Типы инцидентов и уровень поддержки
GitHub SIRT разрешено решать все типы инцидентов безопасности компьютеров, которые происходят или могут произойти в пределах круга заинтересованных лиц.
Уровень поддержки зависит от типа и серьезности данного инцидента безопасности, числа затронутых сущностей в пределах круга заинтересованных лиц и доступных в тот момент ресурсов.
4.2 Совместная работа, взаимодействие и раскрытие сведений
GitHub SIRT прилагает все усилия для безопасного обмена информацией с пострадавшими сторонами в ходе реагирования на инциденты, уважая конфиденциальность и доверие участников круга заинтересованных лиц.
4.3 Связь и проверка подлинности
GitHub SIRT использует протокол Traffic Light Protocol (TLP) для обмена информацией.
Электронная почта является предпочтительным способом обмена данными. Перед отправкой все конфиденциальные данные должны быть зашифрованы с помощью ключа GitHub SIRT PGP (как описано в разделе 2.8).
5. Услуги
5.1 Реагирование на инциденты
GitHub SIRT несет ответственность за реагирование на инциденты внутри GitHub, где затрагивается по крайней мере один участник круга заинтересованных лиц.
GitHub SIRT не предоставляет услуги реагирования на инциденты для клиентов. Прилагаются все усилия для своевременного предоставления точной информации об инцидентах безопасности клиентам, которым был нанесен ущерб, чтобы они могли провести собственное расследование и принять надлежащие меры. Указания относительно контактных лиц приведены в разделе 2.11.
5.1.1 Рассмотрение инцидентов
GitHub SIRT принимает следующие меры в ходе рассмотрения инцидентов:
- Сигналы системы безопасности собираются и интерпретируются для определения риска, серьезности и приоритета.
- Проводится расследование о том, произошел ли инцидент, и определяется его влияние.
Этот список не является исчерпывающим.
5.1.2 Координация инцидентов
GitHub SIRT принимает следующие меры для координации инцидентов:
- Предоставляет сведения о ситуации и анализ для заинтересованных лиц, таких как команды разработчиков, юридические отделы и службы поддержки.
- Берет на себя командную роль с полномочиями направлять ресурсы по мере необходимости.
- Выполняет внешнюю координацию со сторонними лицами, которым нанесен ущерб или которые вовлечены в инцидент.
Этот список не является исчерпывающим.
5.1.3 Разрешение инцидентов
GitHub SIRT принимает следующие меры по устранению инцидентов:
- Привлекает соответствующие внутренние команды для ликвидации угроз, восстановления и обеспечения безопасности.
- Собирает и хранить доказательства для внутреннего использования, а также для возможного привлечения правоохранительных органов.
- Отправляет уведомление участникам круга заинтересованных лиц, которым был нанесен ущерб.
- Составление отчета об устранении последствий инцидента с указанием сделанных выводов.
Этот список не является исчерпывающим.
5.2 Упреждающие меры
GitHub SIRT разрабатывает, поддерживает, а также использует инструменты и методы охоты на угрозы для проактивного выявления рисков и угроз.
Также ведется работа по обучению, подготовке, разработке рабочих процессов и взаимодействию с обществом.
6. Формы отчетов об инцидентах
Недоступно. Указания по созданию отчетов приведены в разделе 2.11.
7. Отказ от ответственности
Несмотря на то, что при подготовке сведений, уведомлений и оповещений принимаются все меры предосторожности, GitHub SIRT не несет ответственности за ошибки и упущения, а также за ущерб, возникший в результате использования содержащейся в них информации.