NVIDIA는 보안 문제를 심각하게 생각하며 이를 빠르게 평가하여 해결하기 위해 노력하고 있습니다. 보안 문제가 보고되면 NVIDIA에서는 문제를 분석 및 검증하고 해결을 위한 수정 조치를 제공하기 위해 적합한 리소스를 투입합니다.
Product
Security
Product
조정된 취약점 공개
NVIDIA는 CVD(조정된 취약점 공개)를 준수하기 위해 노력하고 있습니다. CVD는 당사 제품의 취약점을 발견한 독립적인 보고자가 정보를 대중에게 공개하기 전에 직접 NVIDIA에 연락해 해당 취약점을 조사 및 해결할 기회를 제공하는 프로세스입니다.
NVIDIA PSIRT는 취약점 조사 과정 전반에 걸쳐 보고자와 협력하며 적합한 경우 보고자에게 진행 상황에 대한 업데이트를 제공합니다. 보고자의 동의가 있을 경우 NVIDIA PSIRT는 유효한 제품 취약점을 발견하고 문제를 비공개적으로 보고한 것에 대해 승인 페이지에서 보고자의 노력에 인정과 감사의 뜻을 표할 수 있습니다. NVIDIA가 업데이트 또는 완화 정보를 공개적으로 발표하면 보고자가 취약점에 대해 공개적으로 논의할 수 있습니다.
NVIDIA의 CVD를 준수하면 고객을 보호하는 동시에 대중 대상 공개를 조정하고 보고자의 발견에 대해 적합한 인정과 감사의 뜻을 표할 수 있습니다.
보고된 취약점에 공급업체 제품이 포함되는 경우 NVIDIA PSIRT가 해당 공급업체에 직접 알리거나 보고자와 협력하거나 타사 조정 센터에 참여하게 됩니다.
NVIDIA 승인
현재 NVIDIA에는 버그 현상금 프로그램이 없지만, 외부에서 보고된 보안 문제가 NVIDIA의 조정된 취약점 공개 정책에 따라 처리될 경우에는 승인 내용을 제공합니다.
- 고객이 수정 파일을 다운로드해야 하는 NVIDIA 제품 코드 문제를 해결할 경우 해당 문제에는 CVE 넘버가 부여됩니다. 또한 NVIDIA는 보안 게시판 내의 문제에 대해서도 승인을 합니다.
- 고객이 보호를 위해 수정 파일을 다운로드하지 않아도 되는 NVIDIA 클라우드 서비스에서 해결된 보안 문제의 경우에는 NVIDIA의 승인 웹사이트에서 언급합니다. PSIRT는 사례별로 판단을 내릴 권한을 보유합니다.
NVIDIA 보안 취약점 정보에 관한 미디어 또는 PR 문의
여기에 열거된 기업 커뮤니케이션 연락처 중 하나로 연락하세요.
CVSS(일반 취약점 채점 체계)를 이용한 보안 위험 평가
NVIDIA는 현재 CVSS v3.1(일반 취약점 채점 체계 버전 3.1)을 이용하여 식별된 취약점의 심각도 수준을 평가하고 있습니다. CVSS는 취약점의 특징과 영향을 전달할 수 있도록 일반적인 채점 방법과 일반적인 언어를 지원합니다. CVSS는 취약점이 어느 정도의 우려를 야기하는지에 대한 척도를 확립하고자 시도하고 있습니다. CVSS 모델은 각각 지표 집합으로 구성되는 기본, 시간 및 환경 계산을 포함한 세 가지의 서로 다른 측정 또는 채점 방식을 사용합니다. FIRST(사고 대응 및 보안 팀 포럼)에서 유지 관리하고 있는 전체 표준은 https://www.first.org/cvss에서 확인하실 수 있습니다.
NVIDIA는 CVSS v3.1 사양 문서 정성적 심각도 등급(https://www.first.org/cvss/specification-document)에 따라 아래 표에서 볼 수 있듯이 심각도 등급을 정의합니다.
| 보안 영향 등급 | CVSS 점수 |
| 매우 높음 | 9.0~10.0 |
| 높음 | 7.0~8.9 |
| 중간 | 4.0~6.9 |
| 낮음 | 0.1~3.9 |
| 없음 | 0.0 |
CVSS 점수에 추가적인 요인이 적합하게 포착되지 않았다면 NVIDIA는 특정한 경우 이러한 지침을 따르지 않을 권리가 있습니다.
해당하는 경우, NVIDIA 보안 게시판에서는 CVSS v3.1 기본 점수를 제공하게 됩니다. NVIDIA는 고객에게 가장 많은 가치를 제공하고 취약점의 본질적인 특성을 나타내는 기본 메트릭 그룹에만 중점을 둡니다. NVIDIA의 위험 평가는 설치된 다양한 시스템 세트 전반의 평균 위험을 기반으로 하며 로컬 설치의 실제 위험을 나타내지 않을 수도 있습니다.
NVIDIA는 보안 또는 IT 전문가와의 상담을 통해 특정 구성의 위험을 평가할 것을 권장하며, 네트워크 매개변수를 바탕으로 환경 점수를 산출하는 것이 좋습니다. NVIDIA는 모든 고객이 기본 점수는 물론 모든 시간 및/또는 고객의 환경과 관련이 있을 수 있는 환경 점수를 고려하여 전체 위험을 평가할 것을 권장합니다. 이 전체 점수는 특정한 시점을 나타내며 특정 환경에 적합하게 맞춤화됩니다. 사용자 본인 환경에서 대응 우선순위를 지정하려면 해당 문제 및 이 최종 점수에 대한 보안 또는 IT 전문가의 평가를 사용해야 합니다.
취약점 전달 정책
NVIDIA는 적합한 통신 계획을 결정하기 위해 타사가 아닌 소프트웨어 취약점에 대한 다음 지침을 사용합니다.
| 보안 영향 등급 | CVSS 점수 | 커뮤니케이션 계획 |
| 매우 높음 | 9.0~10.0 | NVIDIA 보안 게시판 |
| 높음 | 7.0~8.9 | |
| 중간 | 4.0~6.9 | |
| 낮음 | 3.9 이하 |
NVIDIA 제품에 사용되는 타사 소프트웨어 구성 요소에 보안 문제가 있다면 NVIDIA는 보안 게시판을 게시할 수 있습니다. 타사 소프트웨어 구성 요소 취약점에 대한 보안 게시판이 게시되는 경우 NVIDIA에서는 일반적으로 해당 구성 요소 제작자가 제공한 CVSS 점수를 사용합니다. NVIDIA가 NVIDIA 제품에 미치는 영향을 반영하여 CVSS 점수를 조정하는 경우도 있습니다.
CVSS 점수에 추가적인 요인이 적합하게 포착되지 않았다면 NVIDIA는 특정한 경우 이러한 지침을 따르지 않을 권리가 있습니다.
보안 게시판
대부분의 경우 NVIDIA는 보안 취약점에 대해 확인된 타당한 해결책이나 보안 업데이트가 있다면 고객에게 알리고자 합니다. 알림은 특정 대상에게 알리거나 보안 게시판을 게시하는 방식으로 전달합니다. 보안 게시판을 게시하기 전에 NVIDIA PSIRT가 먼저 취약점 대응 프로세스를 완료하고 해당 취약점을 해결하기에 충분한 소프트웨어 업데이트 또는 해결책이 존재하는지, 또는 취약점을 해결하기 위해 해결책의 후속 공개를 계획할 것인지 여부를 판단합니다.
보안 게시판은 고객이 스스로 보호할 수 있도록 충분한 세부 정보를 제공해 적합한 양의 정보로 균형을 맞추려 시도하지만, 악성 사용자가 정보를 악용하는 데 사용될 수 있는 자세한 내용을 공개하지는 않습니다. NVIDIA 보안 게시판에는 일반적으로 해당하는 경우 다음 정보가 포함됩니다.
- 영향을 받는 제품 및 버전
- 취약점에 대한 CVE(일반 취약점 열거) 식별자(https://cve.mitre.org 참조)
- 취약점 및 악용될 경우의 잠재적 영향에 대한 간단한 설명
- 취약점에 대한 CVSS(일반 취약점 채점 체계) 심각도 등급( https://www.first.org/cvss/user-guide.html 참조)
- 고객이 요구하는 보안 업데이트, 완화 또는 기타 조치와 같은 해결 세부 사항
- 식별된 취약점은 보고자 덕분이며 조정된 취약점 공개를 위해 NVIDIA와 협력해주신 것에 대해 감사의 마음을 전합니다.
NVIDIA는 취약점의 세부 사항에 대해 보안 게시판과 릴리스 정보, 기술 자료 문서, FAQ 등의 관련 문서에서 제공된 것 이상의 추가 정보를 제공하지 않을 것입니다. NVIDIA는 식별된 취약점의 악용/개념 증명 코드를 배포하지 않습니다.
업계 관행에 따라, NVIDIA는 내부 보안 테스트 또는 기타 유형의 보안 활동으로부터 얻은 결과를 외부 업체와 공유하지 않습니다. 모든 NVIDIA 보안 생산 시스템에 대한 검색은 공격으로 간주된다는 사실에 유의하셔야 합니다. OEM 파트너라면 귀사의 요구 사항을 NVIDIA 프로그램 관리자와 상의해 조정해 주세요.
NVIDIA 보안 게시판은 보안 게시판 페이지에 게시됩니다. 알림은 여기에서 구독하실 수 있습니다.
취약점 해결
NVIDIA는 보안 문제를 심각하게 생각하며 이를 적시에 평가하여 해결하기 위해 노력하고 있습니다. 대응 시간은 심각도, 영향을 받은 제품, 현재 개발 주기, QA 주기, 해당 문제가 주요 릴리스에만 업데이트될 수 있는지 여부 등 수많은 요인에 따라 결정됩니다.
해결을 위해 다음 양식 중 하나 이상이 필요할 수 있습니다.
상기 내용에도 불구하고 NVIDIA는 문제에 대한 특정한 해결을 보장하지 않고 식별된 모든 문제가 해결되지 않을 수 있습니다.
NVIDIA PSIRT 참여
First의 자랑스러운 회원
NVIDIA는 CVE Numbering Authority입니다.
면책 고지
NVIDIA의 PSIRT 프로세스 및 정책의 모든 측면은 고지 없이 개별적으로 변경될 수 있습니다. 모든 특정 문제 또는 문제 클래스에 대한 대응이 보장되지는 않습니다. 본 문서에서 연결된 문서 또는 자료의 정보를 사용하는 것과 관련된 모든 책임은 사용자에게 있습니다. NVIDIA는 고지 없이 언제든지 본 문서를 변경 또는 업데이트할 수 있는 권한을 보유합니다.
모든 NVIDIA 정보, 디자인 사양, 참조 보드, 파일, 도면, 진단, 목록 및 기타 문서(함께 및 별도로 “자료”로 통칭)는 "있는 그대로" 제공됩니다. NVIDIA는 재료와 관련해서 명시적이거나, 암시적이거나, 법적인 어떠한 보증도 하지 않으며, 모든 암시적인 보증이나 타이틀의 상태, 상품성, 만족스러운 품질, 특정 목적에의 적합성 및 비침해를 포함한 모든 명시적 또는 암시적인 모든 조건, 진술 및 보증은 이로써 법률이 허용하는 최대 범위로 제외됩니다.
정보는 제공 시점에 정확하고 신뢰할 수 있습니다. 하지만, NVIDIA Corporation은 이러한 정보의 사용으로 인한 결과 또는 이러한 사용으로 인해 야기될 수 있는 제3자의 특허 또는 기타 권한 침해에 대해 책임지지 않습니다. 암묵적 또는 NVIDIA Corporation의 특허 또는 특허권에 따라 라이선스가 부여되지 않습니다. 본 문서에 언급된 사양은 고지 없이 변경될 수 있습니다. 본 문서는 이전에 제공된 모든 정보를 대체 및 교체합니다. NVIDIA Corporation 제품은 NVIDIA Corporation의 명시적인 서명 승인 없이 생명 유지 장치 또는 시스템의 주요 구성 요소로 사용되도록 승인되지 않았습니다.