GitHub SIRT 描述 RFC 2350

本文档中

1. 文档信息

TLP:CLEAR

1.1 上次更新日期

版本 1.0,更新于 2023-10-01。

1.2 通知分发列表

此文档的更改没有分发列表。

1.3 可能找到此文档的位置

此文档的当前版本可在以下位置找到

https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350

2. 联系信息

2.1 团队名称

GitHub 安全事件响应团队 (SIRT)

子团队

  • 威胁搜寻、运营和响应 (THOR)
  • 产品安全事件响应团队 (PSIRT)
  • 漏洞赏金

2.2 地址

GitHub SIRT 88 Colin P. Kelly Jr. St. San Francisco, CA 94107 United States

2.3 时区

我们的团队主要在美国本土工作,并遵守以下时间

  • 美国东部时间/美国东部夏令时
  • 美国中部时间/美国中部夏令时
  • 美国山地时间/美国山地夏令时
  • 美国太平洋时间/美国太平洋夏令时

2.4 电话号码

2.5 传真号码

2.6 其他电信

2.7 电子邮件地址

security(at)github(dot)com

此电子邮件会转发给 GitHub SIRT 值班人员。

2.8 公钥和加密信息

GitHub SIRT 有一个 PGP 公钥

  • 密钥 ID:78DCCCE9923E5CFB3CAA5D5AB79DBDA3BE944D9E
  • 密钥到期时间:2025-09-12
-----BEGIN PGP PUBLIC KEY BLOCK-----
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=4+TC
-----END PGP PUBLIC KEY BLOCK-----

2.9 团队成员

团队成员名单不对外公开。

2.10 其他信息

2.11 客户联系点

漏洞应报告给我们的漏洞赏金计划

https://bounty.github.com

GitHub 客户应联系其客户经理或 GitHub 支持部门以获得一级支持和升级

https://support.github.com

其他与安全相关的通信可以发送到我们在第 2.7 节中详细说明的电子邮件地址。

3. 宪章

3.1 使命宣言

GitHub 致力于维护其平台以及用户、客户和员工的知识产权和个人信息的机密性、完整性和可用性。为了确保这些原则得到维护,GitHub 保持着强大的漏洞管理、事件响应和威胁搜寻能力。

3.2 选区

我们的选区是任何使用 GitHub 产品或服务的个人或组织,以及 GitHub 员工、承包商和 GitHub Inc.

GitHub 产品和服务的一些示例是

  • GitHub.com
  • GitHub Enterprise Server
  • GitHub Actions
  • GitHub Desktop
  • GitHub CLI
  • GitHub API
  • npm

3.3 赞助和/或关联

GitHub SIRT 是 GitHub 内部的一个团队。资金由 GitHub 提供。

3.4 权限

GitHub SIRT 在 GitHub 首席安全官的授权下运作。

4. 政策

4.1 事件类型和支持级别

GitHub SIRT 有权解决其选区内发生或可能发生的任何类型的计算机安全事件。

支持级别取决于给定安全事件的类型和严重性、我们选区内受影响实体的数量以及我们当时的资源。

4.2 合作、交互和信息披露

在事件响应过程中,GitHub SIRT 会尽力在尊重我们组成部分的隐私和信任的情况下,安全地与受影响方共享信息。

4.3 通信和认证

GitHub SIRT 使用交通灯协议 (TLP) 来共享信息。

电子邮件是首选的通信方式。在发送之前,所有敏感信息都应使用 GitHub SIRT PGP 密钥(如第 2.8 节中所述)进行加密。

5. 服务

5.1 事件响应

当至少一个组成部分成员受到影响时,GitHub SIRT 负责 GitHub 内部事件响应。

GitHub SIRT 不为客户提供事件响应服务。在安全事件期间,我们尽力向受影响的客户提供及时准确的信息,以便他们可以进行自己的调查并做出适当的响应。有关客户联系点,请参阅第 2.11 节。

5.1.1 事件分级

GitHub SIRT 执行以下活动进行事件分级

  • 收集并解释安全信号以确定风险、严重性和优先级。
  • 调查事件是否发生以及事件的影响和后果。

此列表并非详尽无遗。

5.1.2 事件协调

GitHub SIRT 执行以下活动进行事件协调

  • 为工程、法律和支持团队等利益相关者提供态势感知和分析。
  • 拥有指挥权,可根据需要指导资源。
  • 与受影响或涉及的第三方进行外部协调。

此列表并非详尽无遗。

5.1.3 事件解决

GitHub SIRT 执行以下活动进行事件解决

  • 参与相关内部团队以根除、恢复和保护。
  • 收集和存储证据以供内部使用以及潜在的执法参与。
  • 向受影响的组成部分发出通知。
  • 撰写验尸报告,包括经验教训和事件后修复事项。

此列表并非详尽无遗。

5.2 主动活动

GitHub SIRT 开发、维护和运营威胁搜索和检测工具和技术,以主动识别风险和威胁。

还开展教育、准备、工作流开发和社区外展工作。

6. 事件报告表

无。请查看第 2.11 节以获取报告指南。

7. 免责声明

尽管在准备信息、通知和警报时会采取一切预防措施,但 GitHub SIRT 对错误或遗漏,或因使用其中包含的信息而造成的损害不承担任何责任。