Description GitHub SIRT RFC 2350

Dans cet article

1. Informations sur le document

TLP :CLEAR

1.1 Date de la dernière mise à jour

Version 1.0, mise à jour le 01/10/2023.

1.2 Liste de distribution pour les notifications

Il n’existe aucune liste de distribution pour les modifications apportées à ce document.

1.3 Emplacements où se trouve ce document

La version actuelle de ce document se trouve à l’adresse suivante :

https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350

2. Informations de contact

2.1 Nom de l’équipe

Équipe de réponse aux incidents de sécurité GitHub (SIRT)

Sous-équipes :

  • Chasse aux menaces, opérations et réponse (THOR)
  • Équipe d’intervention en cas d’incidents de sécurité du produit (PSIRT)
  • Bug Bounty (prime au bogue)

2.2 Adresse

GitHub SIRT 88 Colin P. Kelly Jr. St. San Francisco, CA 94107 États-Unis

2.3 Fuseau horaire

Notre équipe travaille principalement dans les territoires faisant partie des États-Unis contigus et se conforme à ces horaires :

  • EST/EDT
  • CST/CDT
  • MST/MDT
  • PST/PDT

2.4 Numéro de téléphone

Aucune information n’est disponible.

2.5 Numéro de fax

Aucune information n’est disponible.

2.6 Autres services de télécommunications

Aucune information n’est disponible.

2.7 Adresse de messagerie électronique

security(arobase)github(point)com

Cela permet de relayer l’email à la personne ou aux personnes en charge de GitHub SIRT.

2.8 Clés publiques et informations de chiffrement

GitHub SIRT a une clé publique PGP :

  • ID de la clé : 78DCCCE9923E5CFB3CAA5D5AB79DBDA3BE944D9E
  • Expiration de la clé : 2025-09-12
-----BEGIN PGP PUBLIC KEY BLOCK-----

mDMEZQHKOxYJKwYBBAHaRw8BAQdAzvtu6OfJTspbWTVVU2uDeljmfEr1qYkvD25w
NKB2twq0JUdpdEh1YiBTZWN1cml0eSA8c2VjdXJpdHlAZ2l0aHViLmNvbT6ImQQT
FgoAQRYhBHjczOmSPlz7PKpdWredvaO+lE2eBQJlAco7AhsDBQkDwmcABQsJCAcC
AiICBhUKCQgLAgQWAgMBAh4HAheAAAoJELedvaO+lE2e1voA/31lJyof7nWI1Mxs
x3MHhwp5sFh2P/pFucuNKb7ciwMMAQCCAk39cSFs2WWw8aZC7lqXNJcFiMn0r+wm
i6I3pWjiA7g4BGUByjsSCisGAQQBl1UBBQEBB0C0jKXWh6G8atXCJi2xsy71+NzX
0Y2WN8yj3f59MGHYfAMBCAeIfgQYFgoAJhYhBHjczOmSPlz7PKpdWredvaO+lE2e
BQJlAco7AhsMBQkDwmcAAAoJELedvaO+lE2eozABAIbzLwvaACiKFzXYjp9Zpenv
GEHeqggLGzHpEheyoBMkAP96NI0kzYvj+zhJZ/4Y3TIDZaOD8OXezwia9E2Bxf5O
Aw==
=4+TC
-----END PGP PUBLIC KEY BLOCK-----

2.9 Membres de l’équipe

La liste des membres de l’équipe n’est pas disponible publiquement.

2.10 Autres informations

Aucune information n’est disponible.

2.11 Points de contact client

Les vulnérabilités doivent être signalées à notre Bounty Program de bogues :

https://bounty.github.com

Les clients GitHub doivent contacter leur responsable de compte ou le service d’assistance GitHub pour obtenir une prise en charge de premier niveau et des recours :

https://support.github.com

D’autres communications liées à la sécurité peuvent être dirigées vers notre adresse e-mail mentionnée dans la section 2.7.

3. Charte

3.1 Mission d’entreprise

GitHub s’engage à maintenir la confidentialité, l’intégrité et la disponibilité de sa plateforme, de la propriété intellectuelle et des informations personnelles de ses utilisateurs, clients et employés. Pour garantir que ces principes sont respectés, GitHub dispose de solides capacités de gestion des vulnérabilités, de réponse aux incidents et de chasse aux menaces.

3.2 Circonscription

Notre circonscription est toute personne ou organisation qui utilise un produit ou un service GitHub, ainsi que des employés, des sous-traitants et GitHub Inc.

Voici quelques exemples de produits et de services GitHub :

  • GitHub.com
  • GitHub Enterprise Server
  • GitHub Actions
  • GitHub Desktop
  • GitHub CLI
  • GitHub API
  • npm

3.3 Parrainage et/ou affiliation

GitHub SIRT est une équipe au sein de GitHub. Le financement est fourni par GitHub.

3.4 Autorité

GitHub SIRT fonctionne sous l’autorité du Responsable sécurité de GitHub.

4. Stratégies

4.1 Types d’incidents et de niveau d’assistance

GitHub SIRT est autorisé à traiter tous les types d’incidents de sécurité informatique qui se produisent ou menacent de se produire dans sa circonscription.

Le niveau d’assistance dépend du type et de la gravité de l’incident de sécurité donné, du nombre d’entités affectées au sein de notre circonscription et des ressources dont nous disposons à ce moment.

4.2 Coopération, interaction et divulgation d’informations

GitHub SIRT fait tous les efforts nécessaires pour partager en toute sécurité des informations avec les parties concernées pendant les situations de réponse aux incidents, tout en respectant la confidentialité et la confiance de ses membres.

4.3 Méthodes de communication et d’authentification

GitHub SIRT utilise le protocole TLP (Traffic Light Protocol) pour le partage d’informations.

L’e-mail est la méthode de communication privilégiée. Toutes les informations sensibles doivent être chiffrées à l’aide de la clé PGP GitHub SIRT (comme indiqué dans la section 2.8) avant l’envoi.

5. Services

5.1 Réponse aux incidents

GitHub SIRT est responsable de la réponse aux incidents en interne sur GitHub où au moins un membre de la circonscription est affecté.

GitHub SIRT ne fournit pas de services de réponse aux incidents pour les clients. Tout est mis en œuvre pour fournir des informations précises sur les incidents de sécurité aux clients concernés en temps utile, pour qu’ils puissent mener leurs propres enquêtes et y répondre de manière appropriée. Consultez la section 2.11 relative aux points de contact avec les clients.

5.1.1 Triage des incidents

GitHub SIRT exécute les activités suivantes pour le triage des incidents :

  • Les signaux de sécurité sont collectés et interprétés pour déterminer les risques, la gravité et la priorité.
  • Enquête visant à déterminer si un incident s’est produit et quels en ont été les effets et l’impact.

La liste n’est pas exhaustive.

5.1.2 Coordination des incidents

GitHub SIRT effectue les activités suivantes en ce qui concerne la coordination des incidents :

  • Sensibilisation et analyse de la situation pour les parties prenantes à l’instar des ingénieurs, des équipes juridiques et d’assistance.
  • Rôle de commande conférant l’autorité nécessaire pour diriger les ressources en fonction des besoins.
  • Coordination externe avec des tiers concernés ou impliqués.

La liste n’est pas exhaustive.

5.1.3 Résolution d’incidents

GitHub SIRT exécute les activités suivantes pour mener à bien la résolution des incidents :

  • Engage les équipes internes adéquates pour éradiquer, restaurer et sécuriser.
  • Collecte et stocke des preuves à des fins d’utilisation interne et d’intervention éventuelle des services judiciaires.
  • Notifie les parties concernées.
  • Établie un rapport post-mortem contenant les leçons apprises et les réparations à effectuer après l’incident.

La liste n’est pas exhaustive.

5.2 Activités proactives

GitHub SIRT développe, gère et exploite les outils et techniques de repérage et de détection des menaces pour identifier de manière proactive les risques et les menaces.

Des travaux sont également menés dans les domaines de l’éducation, de la préparation, du développement des workflows et de la sensibilisation de la communauté.

6. Formulaires de rapport d’incident

Aucune information n’est disponible. Consultez la section 2.11 pour obtenir des conseils sur la production de rapports.

7. Clauses de non-responsabilité

Bien que toutes les précautions soient prises dans la préparation des informations, des notifications et des alertes, GitHub SIRT n’assume aucune responsabilité pour ce qui est des erreurs ou des omissions, ou pour tout dommage résultant de l’utilisation des informations fournies.