SIRT do GitHub: descrição: RFC 2350

Neste artigo

1. Informações do documento

TLP:CLEAR

1.1 Data da última atualização

Versão 1.0, atualizada em 01/10/2023.

1.2 Lista de distribuição para notificações

Não há uma lista de distribuição para alterações neste documento.

1.3 Locais em que este documento pode ser encontrado

A versão atual deste documento pode ser encontrada em:

https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350

2. Informações de contato

2.1 Nome da equipe

SIRT (Equipe de Resposta a Incidentes de Segurança) do GitHub

Subequipes:

  • THOR (Busca, Operações e Resposta a Ameaças)
  • PSIRT (Equipe de Resposta a Incidentes de Segurança do Produto)
  • Recompensas por Bugs

2.2 Endereço

GitHub SIRT 88 Colin P. Kelly Jr. St. San Francisco, CA 94107 Estados Unidos

2.3 Fuso horário

Nossa equipe trabalha principalmente nos Estados Unidos contíguos e segue estes horários:

  • EST/EDT
  • CST/CDT
  • MST/MDT
  • PST/PDT

2.4 Número de telefone

Não disponível.

2.5 Número de fax

Não disponível.

2.6 Outras telecomunicações

Não disponível.

2.7 Endereço de email

security(at)github(dot)com

Isso retransmite o email para a(s) pessoa(s) de plantão na SIRT do GitHub.

2.8 Chaves públicas e informações de criptografia

A SIRT do GitHub tem uma chave pública PGP:

  • ID da chave: 78DCCCE9923E5CFB3CAA5D5AB79DBDA3BE944D9E
  • Expiração da chave: 2025-09-12
-----BEGIN PGP PUBLIC KEY BLOCK-----
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=4+TC
-----END PGP PUBLIC KEY BLOCK-----

2.9 Membros da equipe

A lista de membros da equipe não está disponível publicamente.

2.10 Outras informações

Não disponível.

2.11 Pontos de contato com o cliente

As vulnerabilidades devem ser relatadas a nosso programa de recompensas por bugs:

https://bounty.github.com

Os clientes do GitHub devem entrar em contato com seu gerente de conta ou com o suporte do GitHub para obter suporte e escalonamentos de primeiro nível:

https://support.github.com

Outras comunicações relacionadas à segurança podem ser direcionadas a nosso endereço de email, detalhado na Seção 2.7.

3. Estatuto

3.1 Declaração de missão

O GitHub está comprometido em manter a confidencialidade, a integridade e a disponibilidade de sua plataforma e da propriedade intelectual e das informações pessoais de seus usuários, clientes e funcionários. Para garantir que esses princípios sejam respeitados, o GitHub mantém recursos robustos de gerenciamento de vulnerabilidades, resposta a incidentes e busca de ameaças.

3.2 Público-alvo

Nosso público-alvo é qualquer pessoa ou organização que use um produto ou um serviço do GitHub, bem como funcionários e prestadores de serviço do GitHub e a GitHub Inc.

Alguns exemplos de produtos e serviços do GitHub são:

  • GitHub.com
  • GitHub Enterprise Server
  • GitHub Actions
  • GitHub Desktop
  • GitHub CLI
  • GitHub API
  • npm

3.3 Patrocínio e/ou afiliação

A SIRT do GitHub é uma equipe no GitHub. O financiamento é fornecido pelo GitHub.

3.4 Autoridade

A SIRT do GitHub opera sob a autoridade do Diretor de Segurança do GitHub.

4. Políticas

4.1 Tipos de incidentes e nível de suporte

A SIRT do GitHub está autorizada a resolver todos os tipos de incidentes de segurança de computador que ocorram ou ameacem ocorrer com seu público-alvo.

O nível de suporte depende do tipo e da gravidade do incidente de segurança, do número de entidades afetadas em nosso público-alvo e de nossos recursos no momento.

4.2 Cooperação, interação e divulgação de informações

A SIRT do GitHub faz todos os esforços para compartilhar informações com segurança com as partes afetadas durante situações de resposta a incidentes, respeitando a privacidade e a confiança de nosso público-alvo.

4.3 Comunicação e autenticação

A SIRT do GitHub usa o TLP (Traffic Light Protocol) para compartilhamento de informações.

O email é o método preferencial de comunicação. Todas as informações confidenciais devem ser criptografadas usando a chave PGP da SIRT do GitHub (conforme detalhado na Seção 2.8) antes do envio.

5. Serviços

5.1 Resposta a incidentes

A SIRT do GitHub é responsável pela resposta a incidentes internamente no GitHub quando pelo menos um membro do público-alvo é afetado.

A SIRT do GitHub não fornece serviços de resposta a incidentes para clientes. São feitos todos os esforços para fornecer informações oportunas e precisas aos clientes afetados durante incidentes de segurança, para que eles possam conduzir suas próprias investigações e responder adequadamente. Consulte a seção 2.11 para obter os pontos de contato do cliente.

5.1.1 Triagem de incidentes

A SIRT do GitHub realiza as seguintes atividades para triagem de incidentes:

  • Sinais de segurança são coletados e interpretados a fim de determinar o risco, a gravidade e a prioridade.
  • Investigação sobre se ocorreu um incidente e quais foram seu efeito e impacto.

Essa lista não é exaustiva.

5.1.2 Coordenação de incidentes

A SIRT do GitHub realiza as seguintes atividades para coordenação de incidentes:

  • Análise e conscientização situacional para stakeholders, como equipes de suporte, de engenharia e jurídicas.
  • Função de comando com autoridade para direcionar recursos conforme necessário.
  • Coordenação externa com terceiros afetados ou envolvidos.

Essa lista não é exaustiva.

5.1.3 Resolução de incidentes

A SIRT do GitHub realiza as seguintes atividades para resolução de incidentes:

  • Envolve equipes internas relevantes para erradicar, restaurar e proteger.
  • Coleta e armazenamento de provas para uso interno, bem como potencial envolvimento de autoridades policiais.
  • Notificação ao público-alvo afetado.
  • Autoria de post-mortem, com lições aprendidas e itens de reparo pós-incidente.

Essa lista não é exaustiva.

5.2 Atividades proativas

A SIRT do GitHub desenvolve, mantém e opera ferramentas e técnicas de busca e detecção de ameaças para identificar riscos e ameaças de forma proativa.

Também é feito trabalho de educação, preparação, desenvolvimento de fluxo de trabalho e envolvimento da comunidade.

6. Formulários de relatório de incidentes

Não disponível. Consulte a Seção 2.11 para obter diretrizes sobre relatórios.

7. Avisos de isenção de responsabilidade

Embora todas as precauções sejam tomadas na preparação de informações, notificações e alertas, a SIRT do GitHub não assume nenhuma responsabilidade por erros ou omissões ou por danos resultantes do uso das informações contidas.