Select language: current language is German
Suchen oder Copilot Fragen stellen
Menü öffnen
Open Sidebar

Beschreibung des GitHub SIRT RFC 2350

In diesem Artikel

1. Informationen zum Dokument

TLP:CLEAR

1.1 Datum der letzten Aktualisierung

Version 1.02, aktualisiert am 18.12.2025.

1.2 Verteilerliste für Benachrichtigungen

Es gibt keine Verteilerliste für Änderungen an diesem Dokument.

1.3 Orte, an denen dieses Dokument zu finden ist

Die aktuelle Version dieses Dokuments finden Sie unter:

https://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350

2. Kontaktinformationen

2.1 Name des Teams

GitHub Security Incident Response Team (SIRT)

Unterteams:

  • Corporate Security Incident Response Team (CSIRT)
  • Product Security Incident Response Team (PSIRT)
  • Bug Bounty

2.2 Adresse

GitHub SIRT 88 Colin P. Kelly Jr. St. San Francisco, CA 94107 United States

2.3 Zeitzone

Unser Team arbeitet hauptsächlich in den zusammenhängenden Vereinigten Staaten zu den folgenden Zeiten:

  • EST/EDT
  • CST/CDT
  • MST/MDT
  • PST/PDT

2.4 Telefonnummer

Nicht verfügbar.

2.5 Telefaxnummer

Nicht verfügbar.

2.6 Sonstige Telekommunikation

Nicht verfügbar.

2.7 E-Mail-Adresse

security(at)github(dot)com

Die E-Mails werden dann an die diensthabende(n) Person(en) von GitHub SIRT weitergeleitet.

2.8 Informationen zu öffentlichen Schlüsseln und Verschlüsselung

GitHub SIRT verfügt über einen öffentlichen PGP-Schlüssel:

  • Schlüssel-ID: B0614CADF0EAF85433C715A508F419AA6FB92A90
  • Ablauf des Schlüssels: 2027-12-18
-----BEGIN PGP PUBLIC KEY BLOCK-----
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=yWk0
-----END PGP PUBLIC KEY BLOCK-----

2.9 Teammitglieder

Die Liste der Teammitglieder ist nicht öffentlich verfügbar.

2.10 Sonstige Informationen

Nicht verfügbar.

2.11 Anlaufstellen für den Kundenkontakt

Sicherheitsrisiken sollten über unser Bug-Bounty-Programm gemeldet werden:

https://bounty.github.com

GitHub-Kunden sollten sich zwecks First-Level-Support und Eskalationen an ihren Kundenbetreuer oder den GitHub-Support wenden:

https://support.github.com

Andere sicherheitsbezogene Mitteilungen können an die im Abschnitt 2.7 angegebene E-Mail-Adresse gerichtet werden.

3. Grundsätze

3.1 Leitbild

GitHub verpflichtet sich zur Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit sowohl der Plattform als auch des geistigen Eigentums und der personenbezogenen Daten der Benutzer, Kunden und Mitarbeiter. Damit diese Grundsätze gewahrt werden können, unterhält GitHub stabile Funktionen für Sicherheitsrisikomanagement, Vorfallsreaktion und Bedrohungssuche.

3.2 Zuständigkeitsbereich

In unseren Zuständigkeitsbereich fallen alle Personen oder Organisationen, die ein GitHub-Produkt oder einen GitHub-Dienst nutzen, sowie GitHub-Mitarbeiter, Auftragnehmer und GitHub Inc.

Einige Beispiele für GitHub-Produkte und -Dienste sind:

  • GitHub.com
  • GitHub Enterprise Server
  • GitHub Actions
  • GitHub Desktop
  • GitHub CLI
  • GitHub API
  • npm

3.3 Sponsoring und/oder Zugehörigkeit

GitHub SIRT ist ein zu GitHub gehöriges Team. Seine Mittel werden von GitHub aufgebracht.

3.4 Aufsicht

GitHub SIRT ist unter der Aufsicht des Chief Information Security Officer von GitHub tätig.

4. Richtlinien

4.1 Arten von Vorfällen und Support-Level

GitHub SIRT ist befugt, sich mit Computersicherheitsvorfällen aller Art zu befassen, die sich innerhalb seines Zuständigkeitsbereichs ereignen oder zu ereignen drohen.

Der Support-Level hängt von der Art und vom Schweregrad des betreffenden Sicherheitsvorfalls, der Anzahl der betroffenen Entitäten innerhalb unseres Zuständigkeitsbereichs und unseren jeweiligen Ressourcen ab.

4.2 Zusammenarbeit, Interaktion und Offenlegung von Informationen

GitHub SIRT setzt alles daran, während der Vorfallsreaktion Informationen sicher mit betroffenen Parteien auszutauschen und dabei dem Datenschutz und dem Vertrauen der Angehörigen unseres Zuständigkeitsbereichs gerecht zu werden.

4.3 Kommunikation und Authentifizierung

GitHub SIRT setzt für den Informationsaustausch das Traffic Light Protocol (TLP) ein.

E-Mails sind die bevorzugte Kommunikationsmethode. Alle vertraulichen Informationen sollten vor dem Senden mit dem PGP-Schlüssel von GitHub SIRT (laut Abschnitt 2.8) verschlüsselt werden.

5. Dienste

5.1 Reaktion auf Vorfälle

GitHub SIRT ist intern bei GitHub für die Reaktion auf Vorfälle verantwortlich, von denen mindestens ein Angehöriger des Zuständigkeitsbereichs betroffen ist.

GitHub SIRT erbringt keine Vorfallsreaktionsdienste für Kunden. Es werden alle Anstrengungen unternommen, um den Kunden während Sicherheitsvorfällen zeitgerechte und korrekte Informationen zu übermitteln, damit sie ihre eigenen Untersuchungen durchführen und entsprechend reagieren können. Die Anlaufstellen für den Kundenkontakt sind in Abschnitt 2.11 zu finden.

5.1.1 Triage von Vorfällen

Tätigkeiten von GitHub SIRT zur Triage von Vorfällen:

  • Zum Bestimmen von Risiko, Schweregrad und Priorität werden Sicherheitssignale erfasst und ausgewertet.
  • Es wird untersucht, ob sich ein Vorfall ereignet hat und welche Auswirkungen er hatte.

Diese Liste ist nicht vollständig.

5.1.2 Koordination von Vorfällen

Tätigkeiten von GitHub SIRT zur Koordination von Vorfällen:

  • Situative Sensibilität und Analyse für die Beteiligten, wie z. B. die Teams für Technik, Rechtswesen und Support.
  • Rolle mit Weisungsbefugnis zum Zuteilen von Ressourcen nach Bedarf.
  • Externe Koordination mit betroffenen oder involvierten Dritten.

Diese Liste ist nicht vollständig.

5.1.3 Behebung von Vorfällen

Tätigkeiten von GitHub SIRT zur Behebung von Vorfällen:

  • Einbeziehung maßgeblicher interner Teams zum Ausmerzen, Wiederherstellen und Sichern.
  • Sammeln und Speichern von Nachweisen für den internen Gebrauch sowie für den Fall einer möglichen Einbeziehung in Strafverfolgungsmaßnahmen.
  • Benachrichtigung der betroffenen Angehörigen des Zuständigkeitsbereichs.
  • Nachträgliche Aufzeichnung der gesammelten Erfahrungen und der nach dem Vorfall ergriffenen Korrekturmaßnahmen.

Diese Liste ist nicht vollständig.

5.2 Proaktive Tätigkeiten

GitHub SIRT entwickelt, pflegt und betreibt Tools und Techniken für die Bedrohungssuche und Erkennung, mit denen Risiken und Bedrohungen proaktiv ermittelt werden können.

Das Team arbeitet auch in den Bereichen Bildung, Vorbereitung, Workflow-Entwicklung und Community.

6. Formulare zum Melden von Vorfällen

Nicht verfügbar. Anweisungen für Meldungen finden Sie im Abschnitt 2.11.

7. Haftungsausschluss

GitHub SIRT geht bei der Vorbereitung von Informationen, Benachrichtigungen und Warnungen mit der gebotenen Sorgfalt vor, übernimmt aber keine Verantwortung für Fehler oder Auslassungen oder für Schäden, die sich aus der Nutzung der darin enthaltenen Informationen ergeben.

Morty Proxy This is a proxified and sanitized view of the page, visit original site.