{"meta":{"title":"SIRT do GitHub: descrição: RFC 2350","intro":"","product":"Política do site","breadcrumbs":[{"href":"/pt/site-policy","title":"Política do site"},{"href":"/pt/site-policy/security-policies","title":"Políticas de Segurança"},{"href":"/pt/site-policy/security-policies/github-sirt-description-rfc-2350","title":"SIRT do GitHub: descrição: RFC 2350"}],"documentType":"article"},"body":"# SIRT do GitHub: descrição: RFC 2350\n\n<!-- markdownlint-disable search-replace -->\n\n## 1. Informações do documento\n\nTLP:CLEAR\n\n### 1.1 Data da última atualização\n\nVersão 1.02, atualizada em 18/12/2025.\n\n### 1.2 Lista de distribuição para notificações\n\nNão há uma lista de distribuição para alterações neste documento.\n\n### 1.3 Locais em que este documento pode ser encontrado\n\nA versão atual deste documento pode ser encontrada em:\n\nhttps://docs.github.com/site-policy/security-policies/github-sirt-description-rfc-2350\n\n## 2. Informações de contato\n\n### 2.1 Nome da equipe\n\nSIRT (Equipe de Resposta a Incidentes de Segurança) do GitHub\n\nSubequipes:\n\n* CSIRT (Equipe Corporativa de Resposta a Incidentes de Segurança)\n* PSIRT (Equipe de Resposta a Incidentes de Segurança do Produto)\n* Recompensas por Bugs\n\n### 2.2 Endereço\n\nGitHub SIRT 88 Colin P. Kelly Jr. St. San Francisco, CA 94107 Estados Unidos\n\n### 2.3 Fuso horário\n\nNossa equipe trabalha principalmente nos Estados Unidos contíguos e segue estes horários:\n\n* EST/EDT\n* CST/CDT\n* MST/MDT\n* PST/PDT\n\n### 2.4 Número de telefone\n\nNão disponível.\n\n### 2.5 Número de fax\n\nNão disponível.\n\n### 2.6 Outras telecomunicações\n\nNão disponível.\n\n### 2.7 Endereço de email\n\nsecurity(at)github(dot)com\n\nIsso retransmite o email para a(s) pessoa(s) de plantão na SIRT do GitHub.\n\n### 2.8 Chaves públicas e informações de criptografia\n\nA SIRT do GitHub tem uma chave pública PGP:\n\n* ID da chave: `B0614CADF0EAF85433C715A508F419AA6FB92A90`\n* Expiração da chave: `2027-12-18`\n\n```text\n-----BEGIN PGP PUBLIC KEY BLOCK-----\n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\nCw==\n=yWk0\n-----END PGP PUBLIC KEY BLOCK-----\n```\n\n### 2.9 Membros da equipe\n\nA lista de membros da equipe não está disponível publicamente.\n\n### 2.10 Outras informações\n\nNão disponível.\n\n### 2.11 Pontos de contato com o cliente\n\nAs vulnerabilidades devem ser relatadas a nosso programa de recompensas por bugs:\n\nhttps://bounty.github.com\n\nOs clientes do GitHub devem entrar em contato com seu gerente de conta ou com o suporte do GitHub para obter suporte e escalonamentos de primeiro nível:\n\nhttps://support.github.com\n\nOutras comunicações relacionadas à segurança podem ser direcionadas a nosso endereço de email, detalhado na Seção 2.7.\n\n## 3. Estatuto\n\n### 3.1 Declaração de missão\n\nO GitHub está comprometido em manter a confidencialidade, a integridade e a disponibilidade de sua plataforma e da propriedade intelectual e das informações pessoais de seus usuários, clientes e funcionários. Para garantir que esses princípios sejam respeitados, o GitHub mantém recursos robustos de gerenciamento de vulnerabilidades, resposta a incidentes e busca de ameaças.\n\n### 3.2 Público-alvo\n\nNosso público-alvo é qualquer pessoa ou organização que use um produto ou um serviço do GitHub, bem como funcionários e prestadores de serviço do GitHub e a GitHub Inc.\n\nAlguns exemplos de produtos e serviços do GitHub são:\n\n* github.com\n* GitHub Enterprise Server\n* GitHub Actions\n* GitHub Desktop\n* GitHub CLI\n* GitHub API\n* npm <!-- markdownlint-disable-line GHD034 -->\n\n### 3.3 Patrocínio e/ou afiliação\n\nA SIRT do GitHub é uma equipe no GitHub. O financiamento é fornecido pelo GitHub.\n\n### 3.4 Autoridade\n\nA SIRT do GitHub opera sob a autoridade do Responsável pela Segurança da Informação do GitHub.\n\n## 4. Políticas\n\n### 4.1 Tipos de incidentes e nível de suporte\n\nA SIRT do GitHub está autorizada a resolver todos os tipos de incidentes de segurança de computador que ocorram ou ameacem ocorrer com seu público-alvo.\n\nO nível de suporte depende do tipo e da gravidade do incidente de segurança, do número de entidades afetadas em nosso público-alvo e de nossos recursos no momento.\n\n### 4.2 Cooperação, interação e divulgação de informações\n\nA SIRT do GitHub faz todos os esforços para compartilhar informações com segurança com as partes afetadas durante situações de resposta a incidentes, respeitando a privacidade e a confiança de nosso público-alvo.\n\n### 4.3 Comunicação e autenticação\n\nA SIRT do GitHub usa o TLP (Traffic Light Protocol) para compartilhamento de informações.\n\nO email é o método preferencial de comunicação. Todas as informações confidenciais devem ser criptografadas usando a chave PGP da SIRT do GitHub (conforme detalhado na Seção 2.8) antes do envio.\n\n## 5. Serviços\n\n### 5.1 Resposta a incidentes\n\nA SIRT do GitHub é responsável pela resposta a incidentes internamente no GitHub quando pelo menos um membro do público-alvo é afetado.\n\nA SIRT do GitHub não fornece serviços de resposta a incidentes para clientes. São feitos todos os esforços para fornecer informações oportunas e precisas aos clientes afetados durante incidentes de segurança, para que eles possam conduzir suas próprias investigações e responder adequadamente. Consulte a seção 2.11 para obter os pontos de contato do cliente.\n\n#### 5.1.1 Triagem de incidentes\n\nA SIRT do GitHub realiza as seguintes atividades para triagem de incidentes:\n\n* Sinais de segurança são coletados e interpretados a fim de determinar o risco, a gravidade e a prioridade.\n* Investigação sobre se ocorreu um incidente e quais foram seu efeito e impacto.\n\nEssa lista não é exaustiva.\n\n#### 5.1.2 Coordenação de incidentes\n\nA SIRT do GitHub realiza as seguintes atividades para coordenação de incidentes:\n\n* Análise e conscientização situacional para stakeholders, como equipes de suporte, de engenharia e jurídicas.\n* Função de comando com autoridade para direcionar recursos conforme necessário.\n* Coordenação externa com terceiros afetados ou envolvidos.\n\nEssa lista não é exaustiva.\n\n#### 5.1.3 Resolução de incidentes\n\nA SIRT do GitHub realiza as seguintes atividades para resolução de incidentes:\n\n* Envolve equipes internas relevantes para erradicar, restaurar e proteger.\n* Coleta e armazenamento de provas para uso interno, bem como potencial envolvimento de autoridades policiais.\n* Notificação ao público-alvo afetado.\n* Autoria de post-mortem, com lições aprendidas e itens de reparo pós-incidente.\n\nEssa lista não é exaustiva.\n\n### 5.2 Atividades proativas\n\nA SIRT do GitHub desenvolve, mantém e opera ferramentas e técnicas de busca e detecção de ameaças para identificar riscos e ameaças de forma proativa.\n\nTambém é feito trabalho de educação, preparação, desenvolvimento de fluxo de trabalho e envolvimento da comunidade.\n\n## 6. Formulários de relatório de incidentes\n\nNão disponível. Consulte a Seção 2.11 para obter diretrizes sobre relatórios.\n\n## 7. Avisos de isenção de responsabilidade\n\nEmbora todas as precauções sejam tomadas na preparação de informações, notificações e alertas, a SIRT do GitHub não assume nenhuma responsabilidade por erros ou omissões ou por danos resultantes do uso das informações contidas."}