1. Información del documento
TLP:CLEAR
1.1 Fecha de la última actualización
Versión 1.0, actualizada 2023-10-01.
1.2 Lista de distribución para notificaciones
No hay ninguna lista de distribución para los cambios realizados en este documento.
1.3 Ubicaciones donde se puede encontrar este documento
La versión actual de este documento se puede encontrar en:
https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350
2. Información de contacto
2.1 Nombre del equipo
Equipo de respuesta a incidentes de seguridad de GitHub (SIRT)
Subequipos:
- Búsqueda de amenazas, operaciones y respuesta (THOR)
- Equipo de respuesta a incidentes de seguridad del producto (PSIRT)
- Recompensas por la detección de errores
2.2 Dirección
GitHub SIRT 88 Colin P. Kelly Jr. St. San Francisco, CA 94107 Estados Unidos
2.3 Zona horaria
Nuestro equipo trabaja principalmente en los Estados Unidos contiguos y mantiene estas horas:
- EST/EDT
- CST/CDT
- MST/MDT
- PST/PDT
2.4 Número de teléfono
Ninguno disponible.
2.5 Número de facsímil
Ninguno disponible.
2.6 Otras telecomunicaciones
Ninguno disponible.
2.7 Dirección de correo electrónico
security(at)github(dot)com
Esto retransmite el correo electrónico al/los humano(s) en servicio para el SIRT deGitHub.
2.8 Claves públicas e información de cifrado
El SIRT de GitHub tiene una clave pública PGP:
- Id. clave:
78DCCCE9923E5CFB3CAA5D5AB79DBDA3BE944D9E
- Expiración de la clave:
2025-09-12
-----BEGIN PGP PUBLIC KEY BLOCK-----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=4+TC
-----END PGP PUBLIC KEY BLOCK-----
2.9 Miembros del equipo
La lista de miembros del equipo no está disponible públicamente.
2.10 Otra información
Ninguno disponible.
2.11 Puntos de contacto del cliente
Las vulnerabilidades deben notificarse a nuestro programa de recompensas de errores:
Los clientes de GitHub deben ponerse en contacto con el gestor de cuentas o el soporte técnico de GitHub para obtener soporte técnico y escalaciones de primer nivel:
Otras comunicaciones relacionadas con la seguridad se pueden dirigir a nuestra dirección de correo electrónico detallada en la sección 2.7.
3. Carta
3.1 Instrucción de objetivos
GitHub se compromete a mantener la confidencialidad, integridad y disponibilidad tanto de su plataforma como de la propiedad intelectual y la información personal de sus usuarios, clientes y empleados. Para asegurarse de que se mantienen estos principios, GitHub mantiene una sólida administración de vulnerabilidades, respuesta a incidentes y funcionalidades de búsqueda de amenazas.
3.2 Circunscripción
Nuestra circunscripción es cualquier persona u organización que use un producto o servicio de GitHub, así como empleados, contratistas y GitHub Inc.
Algunos ejemplos de productos y servicios de GitHub son:
- GitHub.com
- Servidor GitHub Enterprise
- Acciones de GitHub
- GitHub Desktop
- CLI de GitHub
- API de GitHub
- npm
3.3 Patrocinio y/o afiliación
SIRT de GitHub es un equipo dentro de GitHub. GitHub proporciona financiación.
3.4 Autoridad
SIRT de GitHub funciona bajo la autoridad del responsable de seguridad de GitHub.
4. Directivas
4.1 Tipos de incidentes y nivel de soporte técnico
SIRT de GitHub está autorizado para abordar todos los tipos de incidentes de seguridad de equipos que se producen, o amenazan, dentro de su circunscripción.
El nivel de soporte técnico depende del tipo y la gravedad del incidente de seguridad especificado, del número de entidades afectadas dentro de nuestra circunscripción y de nuestros recursos en el momento.
4.2 Cooperación, interacción y revelación de información
SIRT de GitHub hace todo el trabajo para compartir información de forma segura y fiable con las partes afectadas durante las situaciones de respuesta a incidentes, al tiempo que respeta la privacidad y la confianza de nuestros constituyentes.
4.3 Comunicación y autenticación
SIRT de GitHub usa el Protocolo de semáforos (TLP) para compartir información.
El método preferido de comunicación es el correo electrónico. Toda la información confidencial debe cifrarse con la clave PGP de SIRT de GitHub (como se detalla en la sección 2.8) antes del envío.
5. Servicios
5.1 Respuesta ante incidentes
SIRT de GitHub es responsable de la respuesta a incidentes internamente en GitHub, donde al menos un miembro constituyente se ve afectado.
SIRT de GitHub no proporciona servicios de respuesta a incidentes para los clientes. Cada trabajo se realiza para proporcionar información oportuna y precisa durante los incidentes de seguridad a los clientes afectados para que puedan realizar sus propias investigaciones y responder adecuadamente. Consulte la sección 2.11 para los puntos de contacto del cliente.
5.1.1 Evaluación de prioridades de incidentes
SIRT de GitHub lleva a cabo las siguientes actividades para la evaluación de prioridades de incidentes:
- Las señales de seguridad se recopilan e interpretan para determinar el riesgo, la gravedad y la prioridad.
- Investigación sobre si se produjo un incidente y cuál fue su efecto y su impacto.
Esta lista no es exhaustiva.
5.1.2 Coordinación de incidentes
SIRT de GitHub lleva a cabo las siguientes actividades para la coordinación de incidentes:
- Conciencia situacional y análisis de situaciones para las partes interesadas, como los equipos de ingeniería, legal y soporte técnico.
- Rol de comando con autoridad para dirigir los recursos según sea necesario.
- Coordinación externa con terceros afectados o implicados.
Esta lista no es exhaustiva.
5.1.3 Resolución de incidentes
SIRT de GitHub lleva a cabo las siguientes actividades para la resolución de incidentes:
- Involucra a los equipos internos pertinentes para erradicar, restaurar y proteger.
- Recopilación y almacenamiento de evidencias para uso interno, así como la posible participación en la aplicación de la ley.
- Notificación a los componentes afectados.
- Creación postmortem con lecciones aprendidas y artículos de reparación posteriores al incidente.
Esta lista no es exhaustiva.
5.2 Actividades proactivas
SIRT de GitHub desarrolla, mantiene y opera herramientas y técnicas de detección de amenazas para identificar de forma proactiva riesgos y amenazas.
El trabajo también se realiza en educación, preparación, desarrollo de flujos de trabajo y difusión comunitaria.
6. Formularios de informes de incidentes
Ninguno disponible. Revise la sección 2.11 para obtener instrucciones de informes.
7. Aviso de declinación de responsabilidades
Aunque todas las precauciones se tomarán en la preparación de la información, las notificaciones y las alertas, SIRT deGitHub no asume ninguna responsabilidad por errores u omisiones, o por daños resultantes del uso de la información contenida.