1. Informations sur le document
TLP :CLEAR
1.1 Date de la dernière mise à jour
Version 1.0, mise à jour le 01/10/2023.
1.2 Liste de distribution pour les notifications
Il n’existe aucune liste de distribution pour les modifications apportées à ce document.
1.3 Emplacements où se trouve ce document
La version actuelle de ce document se trouve à l’adresse suivante :
https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350
2. Informations de contact
2.1 Nom de l’équipe
Équipe de réponse aux incidents de sécurité GitHub (SIRT)
Sous-équipes :
- Chasse aux menaces, opérations et réponse (THOR)
- Équipe d’intervention en cas d’incidents de sécurité du produit (PSIRT)
- Bug Bounty (prime au bogue)
2.2 Adresse
GitHub SIRT 88 Colin P. Kelly Jr. St. San Francisco, CA 94107 États-Unis
2.3 Fuseau horaire
Notre équipe travaille principalement dans les territoires faisant partie des États-Unis contigus et se conforme à ces horaires :
- EST/EDT
- CST/CDT
- MST/MDT
- PST/PDT
2.4 Numéro de téléphone
Aucune information n’est disponible.
2.5 Numéro de fax
Aucune information n’est disponible.
2.6 Autres services de télécommunications
Aucune information n’est disponible.
2.7 Adresse de messagerie électronique
security(arobase)github(point)com
Cela permet de relayer l’email à la personne ou aux personnes en charge de GitHub SIRT.
2.8 Clés publiques et informations de chiffrement
GitHub SIRT a une clé publique PGP :
- ID de la clé :
78DCCCE9923E5CFB3CAA5D5AB79DBDA3BE944D9E
- Expiration de la clé :
2025-09-12
-----BEGIN PGP PUBLIC KEY BLOCK-----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=4+TC
-----END PGP PUBLIC KEY BLOCK-----
2.9 Membres de l’équipe
La liste des membres de l’équipe n’est pas disponible publiquement.
2.10 Autres informations
Aucune information n’est disponible.
2.11 Points de contact client
Les vulnérabilités doivent être signalées à notre Bounty Program de bogues :
Les clients GitHub doivent contacter leur responsable de compte ou le service d’assistance GitHub pour obtenir une prise en charge de premier niveau et des recours :
D’autres communications liées à la sécurité peuvent être dirigées vers notre adresse e-mail mentionnée dans la section 2.7.
3. Charte
3.1 Mission d’entreprise
GitHub s’engage à maintenir la confidentialité, l’intégrité et la disponibilité de sa plateforme, de la propriété intellectuelle et des informations personnelles de ses utilisateurs, clients et employés. Pour garantir que ces principes sont respectés, GitHub dispose de solides capacités de gestion des vulnérabilités, de réponse aux incidents et de chasse aux menaces.
3.2 Circonscription
Notre circonscription est toute personne ou organisation qui utilise un produit ou un service GitHub, ainsi que des employés, des sous-traitants et GitHub Inc.
Voici quelques exemples de produits et de services GitHub :
- GitHub.com
- GitHub Enterprise Server
- GitHub Actions
- GitHub Desktop
- GitHub CLI
- GitHub API
- npm
3.3 Parrainage et/ou affiliation
GitHub SIRT est une équipe au sein de GitHub. Le financement est fourni par GitHub.
3.4 Autorité
GitHub SIRT fonctionne sous l’autorité du Responsable sécurité de GitHub.
4. Stratégies
4.1 Types d’incidents et de niveau d’assistance
GitHub SIRT est autorisé à traiter tous les types d’incidents de sécurité informatique qui se produisent ou menacent de se produire dans sa circonscription.
Le niveau d’assistance dépend du type et de la gravité de l’incident de sécurité donné, du nombre d’entités affectées au sein de notre circonscription et des ressources dont nous disposons à ce moment.
4.2 Coopération, interaction et divulgation d’informations
GitHub SIRT fait tous les efforts nécessaires pour partager en toute sécurité des informations avec les parties concernées pendant les situations de réponse aux incidents, tout en respectant la confidentialité et la confiance de ses membres.
4.3 Méthodes de communication et d’authentification
GitHub SIRT utilise le protocole TLP (Traffic Light Protocol) pour le partage d’informations.
L’e-mail est la méthode de communication privilégiée. Toutes les informations sensibles doivent être chiffrées à l’aide de la clé PGP GitHub SIRT (comme indiqué dans la section 2.8) avant l’envoi.
5. Services
5.1 Réponse aux incidents
GitHub SIRT est responsable de la réponse aux incidents en interne sur GitHub où au moins un membre de la circonscription est affecté.
GitHub SIRT ne fournit pas de services de réponse aux incidents pour les clients. Tout est mis en œuvre pour fournir des informations précises sur les incidents de sécurité aux clients concernés en temps utile, pour qu’ils puissent mener leurs propres enquêtes et y répondre de manière appropriée. Consultez la section 2.11 relative aux points de contact avec les clients.
5.1.1 Triage des incidents
GitHub SIRT exécute les activités suivantes pour le triage des incidents :
- Les signaux de sécurité sont collectés et interprétés pour déterminer les risques, la gravité et la priorité.
- Enquête visant à déterminer si un incident s’est produit et quels en ont été les effets et l’impact.
La liste n’est pas exhaustive.
5.1.2 Coordination des incidents
GitHub SIRT effectue les activités suivantes en ce qui concerne la coordination des incidents :
- Sensibilisation et analyse de la situation pour les parties prenantes à l’instar des ingénieurs, des équipes juridiques et d’assistance.
- Rôle de commande conférant l’autorité nécessaire pour diriger les ressources en fonction des besoins.
- Coordination externe avec des tiers concernés ou impliqués.
La liste n’est pas exhaustive.
5.1.3 Résolution d’incidents
GitHub SIRT exécute les activités suivantes pour mener à bien la résolution des incidents :
- Engage les équipes internes adéquates pour éradiquer, restaurer et sécuriser.
- Collecte et stocke des preuves à des fins d’utilisation interne et d’intervention éventuelle des services judiciaires.
- Notifie les parties concernées.
- Établie un rapport post-mortem contenant les leçons apprises et les réparations à effectuer après l’incident.
La liste n’est pas exhaustive.
5.2 Activités proactives
GitHub SIRT développe, gère et exploite les outils et techniques de repérage et de détection des menaces pour identifier de manière proactive les risques et les menaces.
Des travaux sont également menés dans les domaines de l’éducation, de la préparation, du développement des workflows et de la sensibilisation de la communauté.
6. Formulaires de rapport d’incident
Aucune information n’est disponible. Consultez la section 2.11 pour obtenir des conseils sur la production de rapports.
7. Clauses de non-responsabilité
Bien que toutes les précautions soient prises dans la préparation des informations, des notifications et des alertes, GitHub SIRT n’assume aucune responsabilité pour ce qui est des erreurs ou des omissions, ou pour tout dommage résultant de l’utilisation des informations fournies.