1. Informationen zum Dokument
TLP:CLEAR
1.1 Datum der letzten Aktualisierung
Version 1.0, aktualisiert am 01.10.2023.
1.2 Verteilerliste für Benachrichtigungen
Es gibt keine Verteilerliste für Änderungen an diesem Dokument.
1.3 Orte, an denen dieses Dokument zu finden ist
Die aktuelle Version dieses Dokuments finden Sie unter:
https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350
2. Kontaktinformationen
2.1 Name des Teams
GitHub Security Incident Response Team (SIRT)
Unterteams:
- Threat Hunting, Operations, and Response (THOR)
- Product Security Incident Response Team (PSIRT)
- Bug Bounty
2.2 Adresse
GitHub SIRT 88 Colin P. Kelly Jr. St. San Francisco, CA 94107 United States
2.3 Zeitzone
Unser Team arbeitet hauptsächlich in den zusammenhängenden Vereinigten Staaten zu den folgenden Zeiten:
- EST/EDT
- CST/CDT
- MST/MDT
- PST/PDT
2.4 Telefonnummer
Nicht verfügbar.
2.5 Telefaxnummer
Nicht verfügbar.
2.6 Sonstige Telekommunikation
Nicht verfügbar.
2.7 E-Mail-Adresse
security(at)github(dot)com
Die E-Mails werden dann an die diensthabende(n) Person(en) von GitHub SIRT weitergeleitet.
2.8 Informationen zu öffentlichen Schlüsseln und Verschlüsselung
GitHub SIRT verfügt über einen öffentlichen PGP-Schlüssel:
- Schlüssel-ID:
78DCCCE9923E5CFB3CAA5D5AB79DBDA3BE944D9E
- Ablauf des Schlüssels:
2025-09-12
-----BEGIN PGP PUBLIC KEY BLOCK-----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=4+TC
-----END PGP PUBLIC KEY BLOCK-----
2.9 Teammitglieder
Die Liste der Teammitglieder ist nicht öffentlich verfügbar.
2.10 Sonstige Informationen
Nicht verfügbar.
2.11 Anlaufstellen für den Kundenkontakt
Sicherheitsrisiken sollten über unser Bug-Bounty-Programm gemeldet werden:
GitHub-Kunden sollten sich zwecks First-Level-Support und Eskalationen an ihren Kundenbetreuer oder den GitHub-Support wenden:
Andere sicherheitsbezogene Mitteilungen können an die im Abschnitt 2.7 angegebene E-Mail-Adresse gerichtet werden.
3. Grundsätze
3.1 Leitbild
GitHub verpflichtet sich zur Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit sowohl der Plattform als auch des geistigen Eigentums und der personenbezogenen Daten der Benutzer, Kunden und Mitarbeiter. Damit diese Grundsätze gewahrt werden können, unterhält GitHub stabile Funktionen für Sicherheitsrisikomanagement, Vorfallsreaktion und Bedrohungssuche.
3.2 Zuständigkeitsbereich
In unseren Zuständigkeitsbereich fallen alle Personen oder Organisationen, die ein GitHub-Produkt oder einen GitHub-Dienst nutzen, sowie GitHub-Mitarbeiter, Auftragnehmer und GitHub Inc.
Einige Beispiele für GitHub-Produkte und -Dienste sind:
- GitHub.com
- GitHub Enterprise Server
- GitHub Actions
- GitHub Desktop
- GitHub CLI
- GitHub API
- npm
3.3 Sponsoring und/oder Zugehörigkeit
GitHub SIRT ist ein zu GitHub gehöriges Team. Seine Mittel werden von GitHub aufgebracht.
3.4 Aufsicht
GitHub SIRT ist unter der Aufsicht des Chief Security Officer von GitHub tätig.
4. Richtlinien
4.1 Arten von Vorfällen und Support-Level
GitHub SIRT ist befugt, sich mit Computersicherheitsvorfällen aller Art zu befassen, die sich innerhalb seines Zuständigkeitsbereichs ereignen oder zu ereignen drohen.
Der Support-Level hängt von der Art und vom Schweregrad des betreffenden Sicherheitsvorfalls, der Anzahl der betroffenen Entitäten innerhalb unseres Zuständigkeitsbereichs und unseren jeweiligen Ressourcen ab.
4.2 Zusammenarbeit, Interaktion und Offenlegung von Informationen
GitHub SIRT setzt alles daran, während der Vorfallsreaktion Informationen sicher mit betroffenen Parteien auszutauschen und dabei dem Datenschutz und dem Vertrauen der Angehörigen unseres Zuständigkeitsbereichs gerecht zu werden.
4.3 Kommunikation und Authentifizierung
GitHub SIRT setzt für den Informationsaustausch das Traffic Light Protocol (TLP) ein.
E-Mails sind die bevorzugte Kommunikationsmethode. Alle vertraulichen Informationen sollten vor dem Senden mit dem PGP-Schlüssel von GitHub SIRT (laut Abschnitt 2.8) verschlüsselt werden.
5. Dienste
5.1 Reaktion auf Vorfälle
GitHub SIRT ist intern bei GitHub für die Reaktion auf Vorfälle verantwortlich, von denen mindestens ein Angehöriger des Zuständigkeitsbereichs betroffen ist.
GitHub SIRT erbringt keine Vorfallsreaktionsdienste für Kunden. Es werden alle Anstrengungen unternommen, um den Kunden während Sicherheitsvorfällen zeitgerechte und korrekte Informationen zu übermitteln, damit sie ihre eigenen Untersuchungen durchführen und entsprechend reagieren können. Die Anlaufstellen für den Kundenkontakt sind in Abschnitt 2.11 zu finden.
5.1.1 Triage von Vorfällen
Tätigkeiten von GitHub SIRT zur Triage von Vorfällen:
- Zum Bestimmen von Risiko, Schweregrad und Priorität werden Sicherheitssignale erfasst und ausgewertet.
- Es wird untersucht, ob sich ein Vorfall ereignet hat und welche Auswirkungen er hatte.
Diese Liste ist nicht vollständig.
5.1.2 Koordination von Vorfällen
Tätigkeiten von GitHub SIRT zur Koordination von Vorfällen:
- Situative Sensibilität und Analyse für die Beteiligten, wie z. B. die Teams für Technik, Rechtswesen und Support.
- Rolle mit Weisungsbefugnis zum Zuteilen von Ressourcen nach Bedarf.
- Externe Koordination mit betroffenen oder involvierten Dritten.
Diese Liste ist nicht vollständig.
5.1.3 Behebung von Vorfällen
Tätigkeiten von GitHub SIRT zur Behebung von Vorfällen:
- Einbeziehung maßgeblicher interner Teams zum Ausmerzen, Wiederherstellen und Sichern.
- Sammeln und Speichern von Nachweisen für den internen Gebrauch sowie für den Fall einer möglichen Einbeziehung in Strafverfolgungsmaßnahmen.
- Benachrichtigung der betroffenen Angehörigen des Zuständigkeitsbereichs.
- Nachträgliche Aufzeichnung der gesammelten Erfahrungen und der nach dem Vorfall ergriffenen Korrekturmaßnahmen.
Diese Liste ist nicht vollständig.
5.2 Proaktive Tätigkeiten
GitHub SIRT entwickelt, pflegt und betreibt Tools und Techniken für die Bedrohungssuche und Erkennung, mit denen Risiken und Bedrohungen proaktiv ermittelt werden können.
Das Team arbeitet auch in den Bereichen Bildung, Vorbereitung, Workflow-Entwicklung und Community.
6. Formulare zum Melden von Vorfällen
Nicht verfügbar. Anweisungen für Meldungen finden Sie im Abschnitt 2.11.
7. Haftungsausschluss
GitHub SIRT geht bei der Vorbereitung von Informationen, Benachrichtigungen und Warnungen mit der gebotenen Sorgfalt vor, übernimmt aber keine Verantwortung für Fehler oder Auslassungen oder für Schäden, die sich aus der Nutzung der darin enthaltenen Informationen ergeben.