Skip to main content

GitHub SIRT 说明 RFC 2350

1. 文档信息

TLP:CLEAR

1.1 上次更新日期

版本 1.0,更新日期 2023-10-01。

1.2 通知通讯组列表

没有针对此文档更改的通讯组列表。

1.3 可找到本文档的位置

可在以下位置找到本文档的当前版本:

https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350

2. 联系人信息

2.1 团队名称

GitHub 安全事件响应团队 (SIRT)

子团队:

  • 威胁搜寻、操作和响应 (THOR)
  • 产品安全事件响应团队 (PSIRT)
  • Bug 赏金

2.2 地址

GitHub SIRT 88 Colin P. Kelly Jr. St. San Francisco, CA 94107 United States

2.3 时区

我们的团队主要在美国周边地区工作,工作时间如下:

  • EST/EDT
  • CST/CDT
  • MST/MDT
  • PST/PDT

2.4 电话号码

无可用项。

2.5 传真号码

无可用项。

2.6 其他电信

无可用项。

2.7 电子邮件地址

security(at)github(dot)com

这会将电子邮件中继到负责 GitHub SIRT 的人员。

2.8 公钥和加密信息

GitHub SIRT 具有 PGP 公钥:

  • 密钥 ID:78DCCCE9923E5CFB3CAA5D5AB79DBDA3BE944D9E
  • 密钥到期时间:2025-09-12
-----BEGIN PGP PUBLIC KEY BLOCK-----
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=4+TC
-----END PGP PUBLIC KEY BLOCK-----

2.9 团队成员

团队成员列表未公开提供。

2.10 其他信息

无可用项。

2.11 客户联系点

应将漏洞向我们的 bug 赏金计划报告:

https://bounty.github.com

GitHub 客户应联系其客户经理或 GitHub 支持部门以获取一级支持和呈报:

https://support.github.com

其他与安全相关的通信可以定向到第 2.7 节中详述的电子邮件地址。

3. 章程

3.1 宗旨声明

GitHub 致力于维护其平台及其用户、客户和员工的知识产权和个人信息的保密性、完整性和可用性。 为了确保这些原则得到维护,GitHub 维护可靠的漏洞管理、事件响应和威胁搜寻功能。

3.2 关系人

我们的关系人是任何使用 GitHub 产品或服务的个人或组织,以及 GitHub 员工、承包商和 GitHub Inc。

GitHub 产品和服务的一些示例包括:

  • GitHub.com
  • GitHub Enterprise Server
  • GitHub Actions
  • GitHub Desktop
  • GitHub CLI
  • GitHub API
  • npm

3.3 赞助和/或附属关系

GitHub SIRT 是 GitHub 中的一个团队。 资金由 GitHub 提供。

3.4 机构/授权

GitHub SIRT 在 GitHub 的主要安全管理人员的授权下运行。

4. 策略

4.1 事件类型和支持级别

GitHub SIRT 有权解决其组成部分内发生或威胁发生的所有类型的计算机安全事件。

支持级别取决于给定安全事件的类型和严重性、系统组成部分内受影响的实体数量以及当时的资源。

4.2 合作、交互和信息披露

GitHub SIRT 在事件响应情况期间,在尊重关系人的隐私和信任的同时,尽一切努力安全地与受影响的各方共享信息。

4.3 通信和身份验证方法

GitHub SIRT 利用交通灯协议 (TLP) 进行信息共享。

电子邮件是首选的通信方法。 发送电子邮件之前,应使用 GitHub SIRT PGP 密钥(如第 2.8 节中详述)加密所有敏感信息。

5. 服务

5.1 事件响应

GitHub SIRT 负责 GitHub 内部的事件响应,其中至少有一个组成部分成员受到影响。

GitHub SIRT 不会为客户提供事件响应服务。 在发生安全事件时,我们尽一切努力向受影响的客户提供及时准确的信息,以便他们自己进行调查并作出适当的反应。 有关客户联系点,请参阅第 2.11 节。

5.1.1 事件会审

GitHub SIRT 执行以下事件会审活动:

  • 收集并解释安全信号,以确定风险、严重性和优先级。
  • 调查是否发生事件及其影响。

此列表并未囊括所有方式。

5.1.2 事件协调

GitHub SIRT 执行以下活动以进行事件协调:

  • 工程、法律和支持团队等利益干系人的情境意识和分析。
  • 有权根据需要定向资源的命令角色。
  • 与受影响或涉及的第三方进行外部协调。

此列表并未囊括所有方式。

5.1.3 事件解决

GitHub SIRT 会采取以下方式解决事件:

  • 让相关内部团队参与其中,以消除故障、还原和确保安全。
  • 收集和存储供内部使用的证据以及参与执法活动(如有)。
  • 通知受影响的关系人。
  • 使用经验与教训和事件后修复项目进行事后创作。

此列表并未囊括所有方式。

5.2 主动活动

GitHub SIRT 开发、维护和操作威胁搜寻和检测工具和技术,以主动识别风险和威胁。

此外还进行了教育、准备、工作流开发和社区外展方面的工作。

6. 事件报告表单

无可用项。 请参阅第 2.11 节以获取报告指南。

7. 免责声明

虽然在准备信息、通知和警报时将采取一切预防措施,但 GitHub SIRT 不对错误或遗漏,或因使用本文中所包含的信息造成的损害承担责任。