Prodotto
Sicurezza

NVIDIA prende molto seriamente le questioni relative alla sicurezza e agisce prontamente per valutarle e affrontarle. Nel momento in cui viene segnalato un dubbio rispetto alla sicurezza, NVIDIA impiega le risorse adeguate per analizzare, convalidare e adottare azioni correttive per risolvere il problema.

Sommario

Aggiornamento: febbraio 2022

NVIDIA PSIRT – Gestione delle vulnerabilità
Segnalare potenziali vulnerabilità della sicurezza
Divulgazione coordinata delle vulnerabilità (CVD)
Riconoscimenti NVIDIA
Iscrizione ai bollettini e agli aggiornamenti sulla sicurezza
Richieste stampa o PR relative alle informazioni sulle vulnerabilità della sicurezza di NVIDIA
NVIDIA PSIRT - Procedura di gestione delle vulnerabilità
Valutazione del rischio per la sicurezza utilizzando il sistema di punteggio delle vulnerabilità (Common Vulnerability Scoring System, CVSS)
Modalità di comunicazione delle vulnerabilità
Bollettini di sicurezza
Avviso di sicurezza
Correzione della vulnerabilità
Partecipazione a NVIDIA PSIRT
Diritti dei clienti: garanzie, assistenza e manutenzione
Declinazione di responsabilità

NVIDIA PSIRT – Gestione delle vulnerabilità

Il team NVIDIA PSIRT che si occupa di gestire gli incidenti di sicurezza dei prodotti si pone l'obiettivo di ridurre al minimo il rischio associato alle vulnerabilità, fornendo informazioni, istruzioni e correzioni tempestive per le vulnerabilità rilevate nei prodotti. NVIDIA PSIRT è un team internazionale che gestisce la ricezione, l'indagine, il coordinamento interno, la risoluzione e la divulgazione delle informazioni sulle vulnerabilità della sicurezza per i prodotti NVIDIA.


Una delle maggiori responsabilità del team NVIDIA PSIRT è il coordinamento della risposta e la divulgazione di tutte le vulnerabilità dei prodotti NVIDIA rilevate esternamente.

Segnalare potenziali vulnerabilità della sicurezza

NVIDIA incoraggia ricercatori indipendenti, organizzazioni, fornitori, clienti e altri soggetti coinvolti a inviare segnalazioni relative alla sicurezza dei prodotti.

Per saperne di più su come segnalare una potenziale vulnerabilità, visita la pagina Segnala una vulnerabilità.

Divulgazione coordinata delle vulnerabilità (CVD)

NVIDIA fa del suo meglio per adempiere alle prassi di divulgazione coordinata delle vulnerabilità (Coordinated Vulnerability Disclosure, CVD). Il CVD è una procedura secondo la quale gli utenti indipendenti che rilevano una vulnerabilità in un prodotto contattano direttamente NVIDIA per dare il via alle indagini e porre rimedio al problema, prima che venga reso di dominio pubblico dall'utente segnalatore.

Il team NVIDIA PSIRT collabora con il segnalatore nel corso delle indagini e gli fornisce aggiornamenti sullo stato di avanzamento. Con il suo consenso, NVIDIA PSIRT potrebbe citare il segnalatore nella pagina dei riconoscimenti per aver individuato una vulnerabilità valida in un prodotto ed averla segnalata in forma privata. Una volta che informazioni su aggiornamenti o attenuazioni dei rischi vengono rese pubbliche da NVIDIA, il segnalatore sarà autorizzato a discutere della vulnerabilità pubblicamente.

La procedura CVD di NVIDIA ci consente di tutelare i nostri clienti e allo stesso tempo di coordinare le divulgazioni al pubblico ringraziando adeguatamente i segnalatori.

Di tanto in tanto, NVIDIA rileva vulnerabilità della sicurezza nei prodotti di altri fornitori. In casi di questo genere, NVIDIA segue la procedura standard di divulgazione coordinata delle vulnerabilità e comunica il problema rilevato al fornitore interessato o  a un centro di coordinamento di terze parti.

Riconoscimenti NVIDIA

Sebbene NVIDIA al momento non abbia un programma Bug bounty, offriamo riconoscimenti quando un problema di sicurezza segnalato esternamente viene affrontato secondo la nostra policy di divulgazione coordinata delle vulnerabilità.

  • Il numero CVE è garantito per i problemi risolti nel codice di prodotti NVIDIA che richiedono il download di un rimedio da parte del cliente. Menzioniamo inoltre i riconoscimenti nel bollettino di sicurezza dedicato al problema.
  • La menzione del riconoscimento sul sito è prevista per problemi di sicurezza affrontati nei nostri servizi cloud che non richiedono ai clienti il download di una correzione per motivi di protezione. PSIRT si riserva il diritto di decidere caso per caso.

Iscrizione ai bollettini e agli aggiornamenti sulla sicurezza

L'elenco di bollettini sulla sicurezza pubblicati è disponibile alla pagina Bollettini di sicurezza NVIDIA.

I clienti sono invitati a iscriversi alle notifiche sui bollettini di sicurezza NVIDIA in modo da essere sempre informati di rilasci iniziali o importanti revisioni.

Puoi iscriverti alle notifiche qui.

Per informazioni sui bollettini di sicurezza NVIDIA, vedi la sezione Bollettini di sicurezza di questo documento.

Richieste stampa o PR relative alle informazioni sulle vulnerabilità della sicurezza di NVIDIA

Contatta uno dei referenti del team di comunicazione aziendale elencati qui.

NVIDIA PSIRT - Procedura di gestione delle vulnerabilità

Il seguente grafico illustra una panoramica della procedura seguita dal team NVIDIA PSIRT.

Figura 1. Procedura seguita dal team NVIDIA PSIRT

policies-image-400

Valutazione del rischio per la sicurezza utilizzando il sistema di punteggio delle vulnerabilità (Common Vulnerability Scoring System, CVSS)

NVIDIA utilizza attualmente il sistema Common Vulnerability Scoring System versione 3.1 (CVSS v3.1) per valutare la gravità delle vulnerabilità identificate. Il sistema CVSS consente di utilizzare un linguaggio e un metodo di assegnazione dei punteggi comune per comunicare le caratteristiche e gli impatti delle vulnerabilità. Il CVSS tenta di quantificare il livello di gravita di una vulnerabilità. Il modello CVSS utilizza tre misure o punteggi distinti, che includono: calcoli di base, temporali e ambientali, e ciascuno consiste di una serie di metriche. Lo standard completo, emanato dai Forum of Incident Response and Security Teams (FIRST), è disponibile su: https://www.first.org/cvss .

NVIDIA segue la scala di valutazione della gravità qualitativa emanata nel documento delle specifiche CVSS v3.1 (https://www.first.org/cvss/specification-document) per definire la valutazione della gravità come riportato nella tabella seguente:

Valutazione dell'impatto per la sicurezza Punteggio CVSS
Critica 9,0 – 10,0
Elevata 7,0 – 8,9
Medium 4,0 – 6,9
Bassa 0,1 – 3,9
Nessuno 0,0

NVIDIA si riserva il diritto di derogare a tali linee guida in casi specifici in cui fattori aggiuntivi non siano adeguatamente rappresentati nel punteggio CVSS.

Ove applicabile, i bollettini di sicurezza NVIDIA forniranno il punteggio di base CVSS v3.1. NVIDIA si concentra solo sul gruppo metrico di base, poiché apporta il massimo valore ai clienti e rappresenta le caratteristiche intrinseche di una vulnerabilità. La valutazione del rischio NVIDIA si basa su una media del rischio su una serie eterogenea di sistemi installati e potrebbe non rappresentare il rischio reale per l'installazione locale.

NVIDIA consiglia di consultare un professionista della sicurezza o IT per valutare il rischio della configurazione specifica e incoraggia gli utenti a calcolare il punteggio ambientale in base ai parametri della propria rete. NVIDIA consiglia a tutti i clienti di tenere conto dei punteggi di base, temporali e ambientali che siano pertinenti al proprio ambiente al fine di valutare il rischio complessivo. Il punteggio complessivo fotografa un momento preciso nel tempo e non è calibrato per l'ambiente specifico. Rivolgersi a un professionista IT o della sicurezza per valutare il problema e il punteggio finale in modo da stabilire le priorità all'interno del proprio ambiente.

Modalità di comunicazione delle vulnerabilità

NVIDIA usa le seguenti linee guida per le vulnerabilità di software di terze parti, al fine di determinare il piano di comunicazione appropriato:

Valutazione dell'impatto per la sicurezza Punteggio CVSS Piano di comunicazione
Critica 9,0 - 10,0 Bollettino di sicurezza NVIDIA
Elevata 7,0 - 8,9
Medium 4,0 - 6,9
Bassa 3,9 o inferiore Note di rilascio del prodotto

In caso di problemi di sicurezza in un componente software di terze parti utilizzato in un prodotto NVIDIA, NVIDIA si riserva di pubblicare un Bollettino di sicurezza. Se viene pubblicato un Bollettino di sicurezza relativo a una vulnerabilità riscontrata in un componente software di terze parti, NVIDIA di norma utilizza il punteggio CVSS fornito dall'autore del componente. In alcuni casi, NVIDIA potrebbe rettificare il punteggio CVSS per riflettere l'impatto sul prodotto NVIDIA.

NVIDIA si riserva il diritto di derogare a tali linee guida in casi specifici in cui fattori aggiuntivi non siano adeguatamente rappresentati nel punteggio CVSS.

Bollettini di sicurezza

Nella maggior parte dei casi, NVIDIA ha tutta l'intenzione di informare i clienti ove venga identificata una soluzione pratica o un aggiornamento di sicurezza per una vulnerabilità. L'informazione viene divulgata attraverso comunicazioni mirate o tramite la pubblicazione di un Bollettino di sicurezza. Il Bollettino di sicurezza viene pubblicato al termine della procedura attuata dal team NVIDIA PSIRT e ove venga stabilita la possibilità di divulgare rimedi o aggiornamenti per risolvere la vulnerabilità, o a seguito della pianificazione di una divulgazione pubblica di rimedi.

I Bollettini di sicurezza tentano di bilanciare la quantità giusta di informazioni fornendo dettagli sufficienti per consentire ai clienti di tutelarsi, ma evitando di divulgare dati che potrebbero consentire a malintenzionati di approfittare delle informazioni. I Bollettini di sicurezza NVIDIA includono, di norma, le seguenti informazioni (ove pertinente):

  1. Prodotti e versioni coinvolti
  2. Identificativo della vulnerabilità (Common Vulnerability Enumeration, CVE), vedere https://cve.mitre.org
  3. Breve descrizione della vulnerabilità e del potenziale impatto in caso di attacco
  4. Punteggio di gravità CVSS della vulnerabilità, vedere https://www.first.org/cvss/user-guide.html
  5. Dettagli dei rimedi quali aggiornamenti di sicurezza, attenuazione delle vulnerabilità o altre azioni richieste dai clienti
  6. Riconoscimenti al segnalatore della vulnerabilità e ringraziamenti per la collaborazione con NVIDIA nell'attuazione della divulgazione coordinata della vulnerabilità

NVIDIA non fornirà ulteriori informazioni sulle specifiche delle vulnerabilità oltre a quanto indicato nel Bollettino di sicurezza e nella documentazione correlata, ad esempio note di rilascio, articoli della Knowledge Base, FAQ, ecc. NVIDIA non distribuisce codice exploit/proof of concept per le vulnerabilità identificate.

In conformità agli standard di settore, NVIDIA non condivide i rilevamenti dei test di sicurezza interni né altri tipi di attività correlate alla sicurezza con entità esterne. È importante sottolineare che qualsiasi scansione dei sistemi di produzione NVIDIA verrà considerata come un attacco. Se sei un partner OEM, collabora con il tuo Program Manager NVIDIA.

I Bollettini di sicurezza NVIDIA vengono pubblicati sull'apposita pagina del sito.  Puoi iscriverti alle notifiche qui.

Avviso di sicurezza

NVIDIA si riserva di rilasciare una comunicazione speciale per rispondere rapidamente e in modo appropriato a divulgazione pubbliche nei casi in cui la vulnerabilità abbia ricevuto una significativa attenzione da parte del pubblico, i codici exploit possano essere resi pubblici o sussiste la possibilità che la vulnerabilità venga sfruttata. In casi di questo tipo, NVIDIA si riserva di accelerare la comunicazione e potrebbe o non potrebbe includere una serie completa di patch o soluzioni.  Comunicazioni di questo tipo sono etichettate come Avviso di sicurezza e pubblicate nella pagina dei bollettini di sicurezza.

Correzione della vulnerabilità

NVIDIA prende molto seriamente le questioni relative alla sicurezza e agisce prontamente per valutarle e risolvere in modo tempestivo. I tempi di risposta variano a seconda di diversi fattori, tra cui: gravità, prodotto coinvolto, ciclo di sviluppo corrente, cicli di controllo qualità e la possibilità di inserire l'aggiornamento in una release importante. 

La correzione potrebbe avvenire in una o più tra le seguenti modalità:

  1. Nuova release
  2. Aggiornamento di sicurezza distribuito da NVIDIA
  3. Istruzioni per scaricare e installare un aggiornamento o una patch da una terza parte
  4. Soluzione per ridurre la vulnerabilità

A prescindere da quanto sopra, NVIDIA non garantisce una risoluzione specifica per i problemi e non tutti i problemi individuati potrebbero essere affrontati.

Partecipazione a NVIDIA PSIRT

Socio di

First

NVIDIA è un'autorità di numerazione CVE.

CVE

Diritti dei clienti: garanzie, assistenza e manutenzione

I diritti dei clienti NVIDIA rispetto alle garanzie, all'assistenza e alla manutenzione, incluse le vulnerabilità, in prodotti software NVIDIA sono disciplinati dall'accordo pertinente tra NVIDIA e ciascun cliente.

Le dichiarazioni rilasciate in questa pagina web non modificano né estendono eventuali diritti dei clienti e non danno luogo a garanzie ulteriori. Qualsiasi informazione fornita da NVIDIA in merito a vulnerabilità nei prodotti NVIDIA, incluse tutte le informazioni riportate nei report delle vulnerabilità sono di esclusiva proprietà di NVIDIA.

Declinazione di responsabilità

Tutti gli aspetti della procedura e dalle modalità seguite dal team NVIDIA PSIRT sono soggetti a modifica senza preavviso e caso per caso. La risposta a eventuali problemi o categorie di problemi non è garantita. L'utilizzo da parte degli utenti delle informazioni contenute nel documento o nei materiali collegati è a proprio rischio. NVIDIA si riserva il diritto di modificare o aggiornare il presente documento senza preavviso e in qualsiasi momento.

TUTTE LE INFORMAZIONI, LE SPECIFICHE DI PROGETTI, I RIFERIMENTI, I FILE, I DISEGNI I DATI DIAGNOSTICI, GLI ELENCHI E ALTRI DOCUMENTI DI NVIDIA (SINGOLARMENTE E COLLETTIVAMENTE IL "MATERIALE") VENGONO FORNITI "COSÌ COME SONO". NVIDIA NON CONCEDE ALCUNA GARANZIA IMPLICITA, ESPLICITA O DI ALTRA NATURA RISPETTO AL MATERIALE E TUTTE LE CONDIZIONI, DICHIARAZIONI E GARANZIE ESPLICITE O IMPLICITE, TRA CUI EVENTUALI GARANZIE IMPLICITE O CONDIZIONI DI TITOLARITÀ, COMMERCIABILITÀ, QUALITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO E NON VIOLAZIONE DEI DIRITTI ALTRUI SONO ESCLUSE CON IL PRESENTE NELLA MISURA MASSIMA CONSENTITA DALLA LEGGE.

Le informazioni ivi fornite si ritengono precise e affidabili al momento della pubblicazione. Tuttavia, NVIDIA Corporation declina ogni responsabilità in merito alle conseguenze derivanti dall'uso di tali informazioni o da qualsiasi violazione di brevetti o altri diritti di terze parti che possano conseguire dal loro uso. Non si concede alcuna licenza implicita o di altra natura in base ad alcun brevetto o diritto di autore di proprietà di NVIDIA Corporation. Le specifiche tecniche menzionate nella presente pubblicazione sono soggette a modifica senza preavviso. La presente pubblicazione sostituisce tutte le informazioni precedentemente fornite. È vietato l'uso dei prodotti NVIDIA Corporation come componenti critici in dispositivi e sistemi di assistenza medica vitale senza previo consenso scritto di NVIDIA Corporation.

Informazioni sull'azienda
Notizie ed eventi
Link popolari