Политика Nvidia PSIRT

Содержание

Программа по управлению уязвимостями NVIDIA PSIRT
Сообщение о потенциальной уязвимости безопасности
Скоординированное раскрытие уязвимости
Благодарности NVIDIA
Подписка на бюллетени по безопасности и обновления
Медиа- или PR-запросы относительно информации о уязвимостях безопасности продуктов NVIDIA
Процесс управления уязвимостью с NVIDIA PSIRT
Оценка рисков безопасности при помощи общей системы подсчета уязвимостей (CVSS)
Политика информирования о уязвимостях
Бюллетени по безопасности
Предупреждение системы безопасности
Устранение уязвимости
Членство NVIDIA PSIRT
Права пользователей: гарантии, техническая поддержка и обслуживание
Ограничение ответственности

Программа по управлению уязвимостями NVIDIA PSIRT

Задача группы реагирования на инциденты безопасности продуктов NVIDIA (PSIRT) заключается в том, чтобы минимизировать риск пользователей, связанный с уязвимостями системы безопасности, путем предоставления своевременной информации о наличии уязвимостей в наших продуктах и инструкций по их устранению. NVIDIA PSIRT — это международная команда, которая контролирует получение, расследование, внутреннюю координацию, устранение и раскрытие информации об уязвимостях безопасности, связанных с продуктами NVIDIA.

Одной из ключевых обязанностей PSIRT является координация реагирования и раскрытия информации об уязвимостях продуктов NVIDIA, выявленных сторонними источниками.

Сообщение о потенциальной уязвимости безопасности

NVIDIA приветствует отчеты о безопасности своих продуктов от независимых разработчиков, отраслевых организаций, поставщиков, пользователей и других лиц.

Чтобы узнать, как сообщить о потенциальной уязвимости безопасности, зайдите в раздел «Сообщить о уязвимости».

Скоординированное раскрытие уязвимости

NVIDIA стремится придерживаться политики скоординированного раскрытия информации о уязвимостях (CVD). Скоординированное раскрытие уязвимости (CVD) — это процесс, во время которого независимый составитель отчета, обнаруживший уязвимость нашего продукта, связывается напрямую с NVIDIA, чтобы компания имела возможность провести расследование и устранить уязвимость до того, как информация об уязвимости будет раскрыта публично.

NVIDIA PSIRT координирует с составителем отчета во время расследования уязвимости и должным образом уведомляет о прогрессе. С согласия составителя отчета NVIDIA PSIRT может указать его имя в соответствующем разделе с благодарностью за обнаружение уязвимости безопасности продукта и сообщение о проблеме в закрытом порядке. После того как NVIDIA опубликовала информацию об обновлении или мерах по устранению негативного влияния уязвимости, сообщивший может открыто обсуждать уязвимость.

Соблюдение политики CVD позволяет NVIDIA защищать пользователей, координировать раскрытие уязвимостей и выражать признательность составителю(-ям) отчета.

Если обнаруженная уязвимость связана с продуктом поставщика, NVIDIA PSIRT уведомит поставщика напрямую, будет координировать работу с составителем отчета или привлечет сторонний координационный центр.

Благодарности NVIDIA

Так как в настоящее время у NVIDIA нет программы премий за обнаруженные уязвимости, мы выражаем свою благодарность составителю отчета, если проблема безопасности решается в соответствии с нашей политикой Скоординированного раскрытия уязвимости.

Номер CVE присваивается решенным проблемам в коде продукта NVIDIA, которые требуют загрузки исправлений. Мы также выражаем свою благодарность в бюллетене по безопасности.
В разделе Благодарностей на сайте упоминаются ошибки безопасности, решенные в нашем облачном сервисе, для которых не требуется загрузка исправлений. Группа реагирования на инциденты безопасности (PSIRT) оставляет за собой право принимать решение в каждом отдельном случае.

Подписка на бюллетени по безопасности и обновления

Список опубликованных бюллетеней по безопасности можно найти на странице Бюллетени по безопасности NVIDIA.

Пользователям настоятельно рекомендуется подписаться на уведомления о выпуске бюллетеней по безопасности NVIDIA, чтобы быть в курсе обнаруженных уязвимостей и вносимых изменений.

Подписаться на уведомления можно здесь.

Подробнее о бюллетенях по безопасности NVIDIA смотрите в разделе настоящего документа Бюллетени по безопасности.

Медиа- или PR-запросы относительно информации о уязвимостях безопасности продуктов NVIDIA

Пожалуйста, свяжитесь с одним из указанных в списке специалистов отдела корпоративной коммуникации.

Процесс управления уязвимостью с NVIDIA PSIRT

На следующем рисунке показан процесс функционирования NVIDIA PSIRT.

Рисунок 1. Процесс работы группы реагирования на инциденты безопасности продуктов NVIDIA

Оценка рисков безопасности при помощи общей системы подсчета уязвимостей (CVSS)

В настоящее время NVIDIA использует общую систему оценки уязвимостей версии 3.1 (CVSS v3.1) для определения уровня серьезности выявленных уязвимостей. CVSS позволяет использовать общий метод оценки и универсальный язык для описания характеристик и влияния уязвимостей. CVSS пытается закрепить систему измерений того, насколько опасной является уязвимость. Модель CVSS использует три метрики: базовые, временные и контекстные. Каждая из них состоит из набора метрик. Полную нормативную документацию, которая поддерживается Форумом групп реагирования на инциденты безопасности (FIRST), можно найти по адресу: https://www.first.org/cvss .

NVIDIA использует Рейтинговую шкалу для определения уровня опасности уязвимости CVSS v3.1 (https://www.first.org/cvss/specification-document):

Уровень воздействия на безопасность	Оценка по CVSS
Критический	9,0 – 10,0
Высокий	7,0 – 8,9
Средний	4,0 – 6,9
Низкий	0,1 – 3,9
Нулевой	0,0

NVIDIA оставляет за собой право отклониться от этих рекомендаций в конкретных случаях, если в балльной шкале CVSS должным образом не зафиксированы дополнительные коэффициенты.

Когда и где это применимо, бюллетени по безопасности NVIDIA предоставляют базовую оценку CVSS v3.1. NVIDIA применяет только базовую оценку CVSS, поскольку она позволяет наиболее эффективно оценить уязвимость для наших пользователей. Оценка рисков NVIDIA основана на среднем показателе риска в различных установленных системах и может не представлять истинного риска для вашей конкретной установки.

NVIDIA рекомендует обратиться к специалисту по безопасности или ИТ-специалисту для оценки риска для вашей конкретной конфигурации и советует вычислять контекстную оценку опасности на основе параметров вашей сети. Для оценки общего риска NVIDIA рекомендует пользователям учитывать базовую, временную и/или контекстную оценки, применимые к их установке. Этот общий балл представляет собой оценку уровня опасности в настоящий момент и привязан к вашей конкретной среде. Для определения окончательной оценки уровня опасности и мер реагирования на уязвимость в своем окружении воспользуйтесь услугами специалиста по безопасности или ИТ-специалиста.

Политика информирования о уязвимостях

NVIDIA использует следующие рекомендации для определения методов информирования при обнаружении уязвимостей стороннего программного обеспечения:

Уровень воздействия на безопасность	Оценка по CVSS	Метод информирования
Критический	9,0 – 10,0	Бюллетень по безопасности NVIDIA
Высокий	7,0 – 8,9
Средний	4,0 – 6,9
Низкий	3,9 или ниже	Примечание к выпуску

Если возникает проблема безопасности со сторонним программным компонентом, который используется в продукте NVIDIA, NVIDIA может опубликовать бюллетень по безопасности. В случае публикации бюллетени по безопасности для уязвимости стороннего программного компонента NVIDIA обычно использует оценку по шкале CVSS, предоставляемую разработчиком компонента. В некоторых случаях NVIDIA может корректировать показатель CVSS, чтобы отразить воздействие на продукт NVIDIA.

NVIDIA оставляет за собой право отклониться от этих рекомендаций в конкретных случаях, если в балльной шкале CVSS должным образом не зафиксированы дополнительные коэффициенты.

Бюллетени по безопасности

В большинстве случаев NVIDIA уведомляет пользователей, когда существует определенное практическое решение или устранение уязвимости безопасности. Уведомление осуществляется посредством целенаправленного информационного сообщения или путем размещения бюллетеня по безопасности. Бюллетень по безопасности публикуется после того, как NVIDIA PSIRT завершит процесс реагирования на уязвимость и определит, что для ее устранения существуют достаточные программные инструменты или обходные пути или в последующем для устранения уязвимости планируется публичное раскрытие исправлений кода.

Бюллетени по безопасности стремятся сбалансировать объем информации, предоставляя достаточно данных, чтобы пользователи могли защитить себя, но не подробные данные, позволяющие злоумышленникам использовать информацию. Бюллетени по безопасности NVIDIA обычно содержат следующую информацию:

Указание продуктов и версий, которые подвержены уязвимости
Идентификатор CVE для уязвимости (см. https://cve.mitre.org)
Краткое описание уязвимости и потенциальное воздействие ее использования
Оценку уровня опасности уязвимости согласно общей системе подсчета уязвимостей (CVSS) (см. https://www.first.org/cvss/user-guide.html)
Информацию об устранении уязвимости, например, об обновлениях безопасности, миграции или других действиях, которая запрошена пользователем
Указание составителя отчета о выявленной уязвимости и благодарность за сотрудничество с NVIDIA в рамках политики Скоординированного раскрытия уязвимости

NVIDIA не будет предоставлять дополнительную информацию об особенностях уязвимостей помимо того, что предусмотрено в бюллетене по безопасности и соответствующей документации, такой как заметки о выпуске, статьи базы знаний, часто задаваемые вопросы и т.д. NVIDIA не распространяет коды эксплойта для выявленных уязвимостей.

В соответствии с отраслевыми стандартами NVIDIA не делится результатами внутренних проверок безопасности или других видов деятельности по обеспечению безопасности с внешними организациями. Важно отметить, что любое сканирование систем безопасности NVIDIA будет считаться атакой. Если вы являетесь OEM-партнером, пожалуйста, сообщите о cвоих потребностях программному менеджеру NVIDIA.

Бюллетени по безопасности NVIDIA публикуются на странице Бюллетеней по безопасности. Подписаться на уведомления можно здесь.

Предупреждение системы безопасности

NVIDIA может опубликовать специальное сообщение для быстрого и надлежащего реагирования на публичное раскрытие информации, в котором уязвимость, возможно, привлекла значительное общественное внимание, будет содержать доступные эксплойты или активно использоваться. В таком случае NVIDIA может ускорить публикацию сообщения и может включать или не включать в него полный набор исправлений или обходных решений. Подобное сообщение будет помечено как Предупреждение системы безопасности и опубликовано на странице Бюллетеней по безопасности.

Устранение уязвимости

Компания NVIDIA серьезно относится к проблемам безопасности и работает над их быстрой оценкой и решением. Время реагирования будет зависеть от многих факторов: уровня опасности выявленной уязвимости, подверженных продуктов, текущего цикла разработки и того факта, если уязвимость может быть исправлена только обновлением основного выпуска программного обеспечения.

Устранение может принимать одну или несколько следующих форм:

Новый выпуск
Обновление безопасности NVIDIA
Инструкции по загрузке и установке обновления или патча от стороннего поставщика

Обходной путь для устранения уязвимости

Несмотря на вышесказанное, NVIDIA не гарантирует конкретных решений для всех ошибок и устранение всех направленных ошибок.

Права пользователей: гарантии, техническая поддержка и обслуживание

Права пользователей NVIDIA в отношении гарантий, поддержки и обслуживания, включая уязвимости, в любом программном продукте NVIDIA регулируются применимым соглашением между NVIDIA и каждым пользователем.

Заявления на этой веб-странице не изменяют и не расширяют права пользователей и не создают никаких дополнительных гарантий. Любая информация, предоставляемая NVIDIA относительно уязвимостей продуктов NVIDIA, включая всю информацию из отчета об уязвимости продукта, становится единоличной информацией NVIDIA.

Ограничение ответственности

Все положения политики NVIDIA PSIRT могут быть изменены без предварительного уведомления и в каждом отдельном случае. Ответ для решения какой-либо конкретной проблемы или класса проблем не гарантируется. Вы используете информацию из настоящего документа или материалов, найденных по ссылке в настоящем документе, на свой страх и риск. NVIDIA сохраняет за собой право изменять или обновлять настоящий документ в любое время без предварительного уведомления.

ВСЯ ИНФОРМАЦИЯ NVIDIA, СПЕЦИФИКАЦИИ, РЕФЕРЕНСНЫЕ ПЛАТЫ, ФАЙЛЫ, ЧЕРТЕЖИ, ДИАГНОСТИЧЕСКИЕ ДАННЫЕ, СПИСКИ И ДРУГАЯ ДОКУМЕНТАЦИЯ (В СОВОКУПНОСТИ И ПО ОТДЕЛЬНОСТИ «МАТЕРИАЛЫ») ПРЕДОСТАВЛЯЮТСЯ НА УСЛОВИИ «КАК ЕСТЬ» NVIDIA ОТКАЗЫВАЕТСЯ ОТ ЛЮБЫХ ПРЯМЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ НА МАТЕРИАЛЫ. В МАКСИМАЛЬНОЙ ДОПУСТИМОЙ ДЕЙСТВУЮЩИМ ЗАКОНОДАТЕЛЬСТВОМ СТЕПЕНИ ИСКЛЮЧАЮТСЯ ВСЕ ПРЯМЫЕ ИЛИ ПОДРАЗУМЕВАЕМЫЕ УСЛОВИЯ, ЗАЯВЛЕНИЯ И ГАРАНТИИ, ВКЛЮЧАЯ ЛЮБЫЕ ПОДРАЗУЕМВАЕМЫЕ ГАРАНТИИ ЗАКОННОСТИ ПРАВА СОБСТВЕННОСТИ, ТОВАРНОЙ ПРИГОДНОСТИ, УДОВЛЕТВОРИТЕЛЬНОГО КАЧЕСТВА, ПРИГОДНОСТИ ДЛЯ ИСПОЛЬЗОВАНИЯ ПО НАЗНАЧЕНИЮ И НЕНАРУШЕНИЯ ПРАВ ТРЕТЬИХ ЛИЦ.

Считается, что предоставляемая информация точна и достоверна на момент публикации. NVIDIA не несет никакой ответственности за последствия использования подобной информации или любые нарушения патента или других прав сторонних лиц в результате использования этой информации. Не предоставляются никакие подразумеваемые или иные патентные права, принадлежащие корпорации NVIDIA. В содержание упомянутых материалов могут быть внесены изменения без предварительного уведомления. Настоящая публикация отменяет и полностью заменяет информацию, представленную ранее. Продукты NVIDIA не предназначены для использования в качестве основных элементов систем жизнеобеспечения без предварительного письменного разрешения компании NVIDIA.

Продукт Безопасность