Ürün
Güvenlik

NVIDIA, güvenlik sorunlarını ciddiyetle ele alır ve hızla değerlendirip çözmeye çalışır. Bir güvenlik sorunu bildirildiğinde NVIDIA, sorunu çözmek üzere analiz etmek, düzeltici eylemleri doğrulamak ve sunmak için uygun kaynakları kullanır.

İçindekiler

Güncelleme tarihi: Şubat 2022

NVIDIA PSIRT – Güvenlik Açığı Yönetimi
Potansiyel Güvenlik Açıklarını Bildirme
Güvenlik Açıklarının Koordineli İfşası
NVIDIA Güvenlik Bildirimleri
Güvenlik Bildirilerine ve Güncellemelerine Abone Olma
NVIDIA Güvenlik Açığı Bilgileriyle İlgili Medya ve Halkla İlişkiler Soruları
NVIDIA PSIRT Güvenlik Açığı Yönetim Süreci
Genel Güvenlik Açığı Puanlama Sistemi'ni (CVSS) kullanarak Güvenlik Riskini Değerlendirme
Güvenlik Açığı Bildirim İlkesi
Güvenlik Bildirileri
Güvenlik Bildirimi
Güvenlik Açığı Düzeltmesi
NVIDIA PSIRT’ye Katılım
Müşteri Hakları: Garantiler, Destek ve Bakım
Sorumluluk Reddi

NVIDIA PSIRT – Güvenlik Açığı Yönetimi

NVIDIA Ürün Güvenlik Olayları Müdahale Ekibi’nin (PSIRT) amacı, zamanında bilgi, rehberlik ve ürünlerimizdeki güvenlik açıklarına yönelik düzeltmeler sağlayarak güvenlik açıklarıyla ilişkili olan müşteri riskini en aza indirmektir. NVIDIA PSIRT, NVIDIA ürünleriyle ilgili güvenlik açığı bilgilerinin girişini, araştırılmasını, şirket içi koordinasyonu, düzeltmeleri ve bunların ifşasını yöneten global bir ekiptir.


NVIDIA PSIRT'in temel sorumluluklarından biri, harici olarak tanımlanmış tüm NVIDIA ürünü güvenlik açıklarının yanıtlanmasını ve ifşa edilmesini koordine etmektir.

Potansiyel Güvenlik Açıklarını Bildirme

NVIDIA; bağımsız araştırmacılardan, güvenlik kuruluşlarından, satıcılardan, müşterilerden ve güvenlik sorunlarıyla ilgilenen diğer kaynaklardan gelen tüm raporları kabul eder.

Potansiyel güvenlik açığının nasıl bildirileceği hakkında daha fazla bilgi edinmek için Güvenlik Açığı Bildirme sayfasını ziyaret edin.

Güvenlik Açıklarının Koordineli İfşası

NVIDIA, Güvenlik Açıklarının Koordineli İfşası (CVD) uygulamalarını gerçekleştirmeye çalışır. CVD, ürünümüzde bir güvenlik açığını bulup bildiren bağımsız kişilerin NVIDIA'yla doğrudan iletişim kurabileceği ve bilgiler bildiren kişi tarafından kamuoyuna açıklanmadan önce güvenlik açığını araştırmamıza ve düzeltmemize fırsat tanıyan bir süreçtir.

NVIDIA PSIRT, güvenlik açığı araştırması sırasında bildirenle koordinasyon içinde çalışır ve ilerleme durumuna ilişkin güncellemeleri bildirene uygun bir şekilde sunar. Bildiren tarafın kabul etmesi durumunda NVIDIA PSIRT, geçerli bir ürün güvenlik açığı bulduğu ve sorunu özel olarak bildirdiği için kendisine Sorun Bildirimleri sayfamızda yer verebilir. Bir güncelleme veya önlem NVIDIA tarafından halka açık olarak yayınlandıktan sonra bildiren taraf açık ile ilgili konuşmakta özgürdür.

NVIDIA’nın CVD ilkelerini uygulamak, müşterilerimizin güvenliğini sağlarken aynı zamanda kamuoyuna ifşa sürecini koordine etmemize ve bildiren kişilere keşifleri için uygun bir şekilde teşekkür etmemize olanak tanır.

NVIDIA bazen diğer satıcıların ürünlerindeki güvenlik açıklarını keşfeder. Bu durumda NVIDIA, standart Güvenlik Açıklarının Koordineli İfşası sürecini takip eder ve tanımlanan sorunu etkilenen satıcıya  veya üçüncü taraf koordinasyon merkezine iletir.

NVIDIA Güvenlik Bildirimleri

NVIDIA şu anda bir hata bulma ödüllendirme programına sahip olmamakla birlikte, harici olarak bildirilen bir güvenlik sorunu koordine güvenlik açığı bildirme ilkemiz kapsamında giderildiğinde sorunu bildirenleri yayınlıyor.

  • Müşterinin düzeltme indirmesini gerektiren, çözülmüş NVIDIA ürün kodu sorunları için bir CVE numarası verilmektedir. Ayrıca sorunu bildirenleri güvenlik bildirisinde yayınlıyoruz.
  • Bulut hizmetlerimizde düzeltilip müşterilerin koruma için bir düzeltme indirmesini gerektirmeyen güvenlik sorunlarından, bildirenlerin paylaşıldığı web sitemizde bahsedilir. PSIRT, her durum için ayrı karar verme hakkını saklı tutar.

Güvenlik Bildirilerine ve Güncellemelerine Abone Olma

Yayınlanan Güvenlik Bildirilerinin listesi, NVIDIA Güvenlik Bildirileri sayfasında bulunabilir.

Müşterilerin, ilk sürümlerden veya NVIDIA Güvenlik Bildirilerindeki başlıca değişikliklerden haberdar olmak için NVIDIA Güvenlik Bildirilerine yönelik bildirimlere abone olması önemle önerilir.

Bildirimlere buradan abone olabilirsiniz.

NVIDIA Güvenlik Bildirileri hakkında bilgi edinmek için, bu belgenin Güvenlik Bildirileri bölümüne göz atın.

NVIDIA Güvenlik Açığı Bilgileriyle İlgili Medya ve Halkla İlişkiler Soruları

Lütfen burada listelenen Kurumsal İletişim yetkili kişilerinden biriyle iletişim kurun.

NVIDIA PSIRT Güvenlik Açığı Yönetim Süreci

Aşağıdaki grafikte üst seviyedeki NVIDIA PSIRT süreci gösterilmektedir.

Şekil 1: NVIDIA Ürün Güvenlik Olayları Müdahale Ekibi Süreci

policies-image-400

Genel Güvenlik Açığı Puanlama Sistemi'ni (CVSS) kullanarak Güvenlik Riskini Değerlendirme

NVIDIA, tanımlanmış güvenlik açıklarının önem derecesini değerlendirmek için Genel Güvenlik Açığı Puanlama Sistemi 3.1 sürümünü (CVSS v3.1) kullanmaktadır. CVSS, güvenlik açıklarının niteliklerini ve etkilerini bildirmek için genel bir puanlama yöntemi ve dili sunar. CVSS, bir güvenlik açığının ne kadar sorun ortaya çıkaracağını ölçmeye çalışır. CVSS modeli, birer ölçüm kümesinden oluşan Temel, Geçici veya Ortam hesaplamaları içeren üç farklı ölçüm veya puanlama yöntemi kullanır. Olay Müdahale ve Güvenlik Ekipleri Forumu (FIRST) tarafından korunan tam standardı şurada bulabilirsiniz: https://www.first.org/cvss.

NVIDIA, Önem Derecelerini aşağıdaki tabloda gösterilen şekilde tanımlamak için CVSS v3.1 Teknik Özellik Belgesi Sayısal Önem Derecesi Oran Ölçeği'ni (https://www.first.org/cvss/specification-document) takip eder:

Güvenlik Etkisi Oranı CVSS Puanı
Kritik 9,0 - 10,0
Yüksek 7,0 - 8,9
Orta 4,0 - 6,9
Düşük 0,1 – 3,9
Yok 0,0

Ek faktörler CVSS puanında uygun bir şekilde yakalanamıyorsa NVIDIA, bu ilkelerden ayrılma hakkını saklı tutar.

NVIDIA Güvenlik Bildirileri, uygulanabildiği yerlerde ve durumlarda CVSS v3.1 Temel Puanını sağlar. NVIDIA yalnızca Temel ölçüm grubuna odaklanır, çünkü bir güvenlik açığının iç özelliklerini temsil eden bu grup, müşterilerimize en fazla değeri sağlayacaktır. NVIDIA’nın risk değerlendirmesi, yüklü sistemlerdeki farklı grupların ortalama riskini temel aldığından yerel yüklemenizin gerçek riskini temsil etmeyebilir.

NVIDIA, özel yapılandırmanızın riskini değerlendirmek için bir güvenlik veya BT uzmanına danışmanızı ve Ortam puanını ağ parametrelerinize göre hesaplamanızı önerir. NVIDIA, tüm müşterilerin genel riskini değerlendirmek için Temel Puanı ve ortamlarıyla ilgili olabilecek tüm Geçici ve/veya Ortam Puanlarını göz önünde bulundurmasını önerir. Bu genel puan, zamandaki bir noktayı temsil eder ve özel ortamınıza uygun hale getirilmiştir. Ortamınıza yönelik müdahalelerin önceliklerini belirlemek için, bir güvenlik veya BT uzmanının sorunla ilgili değerlendirmesini ve bu son puanı kullanmanız gerekir.

Güvenlik Açığı Bildirim İlkesi

NVIDIA, uygun Bildirim Planını belirlemek üzere üçüncü taraf olmayan yazılım güvenlik açıkları için şu ilkeleri kullanır:

Güvenlik Etkisi Oranı CVSS Puanı Bildirim Planı
Kritik 9,0-10,0 NVIDIA Güvenlik Bildirisi
Yüksek 7,0-8,9
Orta 4,0-6,9
Düşük 3,9 veya daha düşük Ürün Sürüm Notu

NVIDIA ürününde kullanılan üçüncü taraf yazılım bileşeniyle ilgili bir güvenlik sorunu varsa NVIDIA bir Güvenlik Bildirisi yayınlayabilir. Üçüncü taraf yazılım bileşeni güvenlik açığı için bir Güvenlik Bildirisi yayınlandığında, NVIDIA genellikle bileşeni oluşturan tarafından sağlanan CVSS puanını kullanır. Bazı durumlarda NVIDIA, CVSS puanını NVIDIA ürününe olan etkisini yansıtacak şekilde düzeltebilir.

Ek faktörler CVSS puanında uygun bir şekilde yakalanamıyorsa NVIDIA, bu ilkelerden ayrılma hakkını saklı tutar.

Güvenlik Bildirileri

NVIDIA çoğunlukla, güvenlik açığı için tanımlanmış pratik bir geçici çözüm veya güvenlik güncellemesi varsa müşterilerine bildirim sağlamayı amaçlar. Bildirim, hedeflenmiş iletişim kanalları üzerinden veya bir Güvenlik Bildirisi ile sağlanır. Güvenlik Bildirisini göndermeden önce, NVIDIA PSIRT ilk olarak güvenlik açığı müdahale sürecini tamamlayıp güvenlik açığını gidermek için gerekli güncelleme veya geçici çözümün bulunduğuna ya da güvenlik açıklarını çözmek üzere sonraki kod iyileştirmelerinin kamuoyuna ifşa edilmesine karar verir.

Güvenlik Bildirilerindeki bilgiler, müşterilerin kendilerini korumalarına yeterli olacak, ancak kötü amaçlı kullanıcıların bu bilgileri kullanamaması için fazla ayrıntılı olmayacak şekilde doğru miktarda dengelenmeye çalışılır. NVIDIA Güvenlik Bildirileri, uygulanabildiği yerde genellikle şu bilgileri içerir:

  1. Etkilenen ürünler ve sürümleri
  2. Güvenlik açığına ait Genel Güvenlik Açığı Listesi (CVE) tanımlayıcısı (bkz. https://cve.mitre.org)
  3. Güvenlik açığının ve kötüye kullanılması halinde oluşacak potansiyel etkisinin kısa açıklaması
  4. Güvenlik açığına ait Genel Güvenlik Açığı Puanlama Sistemi (CVSS) önem derecesi (bkz. https://www.first.org/cvss/user-guide.html)
  5. Güvenlik güncellemeleri, risklerin azaltılması veya müşteri tarafında gerekli diğer kod iyileştirme bilgileri
  6. Tanımlanmış güvenlik açığını bildiren kişiyi kaynak gösterme ve Güvenlik Açıklarının Koordineli İfşası'nda NVIDIA ile birlikte çalıştığı için teşekkür

NVIDIA, ilgili Güvenlik Bildirisi'nde verilenler ile sürüm notları, bilgi tabanı makaleleri ve SSS gibi ilgili belgelerin dışında güvenlik açığı özellikleriyle ilgili ek bilgi sunmaz. NVIDIA, tanımlanmış güvenlik açıkları için kötüye kullanma/kavram kanıtı kodunu dağıtmaz.

NVIDIA, sektördeki uygulamalar uyarınca iç güvenlik testinde elde edilen bulguları veya diğer türdeki güvenlik etkinliklerini harici kuruluşlarla paylaşmaz. NVIDIA’nın Güvenlik üretim sistemlerinin herhangi bir şekilde taranmasının bir saldırı olarak değerlendirildiğini unutmayın. Bir OEM iş ortağıysanız lütfen gereksinimlerinizi NVIDIA program yöneticisi ile düzenleyin.

NVIDIA Güvenlik Bildirileri, Güvenlik Bildirisi sayfasında paylaşılır.  Bildirimlere buradan abone olabilirsiniz.

Güvenlik Bildirimi

NVIDIA, güvenlik açığının kamuoyunun ilgisini büyük ölçüde çektiği, kötüye kullanma olasılığının bulunduğu veya zaten kötüye kullanılacağının beklendiği durumlarda kamuoyuna ifşalara hızlı ve uygun bir şekilde yanıt vermek için özel bir bildirim yayınlayabilir. Bu durumda NVIDIA, bildirimi hızlandırabilir ve tam yamaları veya geçici çözümleri ekleme ya da eklememe olasılığı bulunur.  Bu, Güvenlik Bildirimi olarak etiketlenecek ve Güvenlik Bildirisi sayfasında yayınlanacaktır.

Güvenlik Açığı Düzeltmesi

NVIDIA, güvenlik sorunlarını ciddiyetle ele alır ve en kısa sürede değerlendirip çözmeye çalışır. Müdahale zaman çizelgeleri; önem derecesi, etkilenen ürün, mevcut geliştirme süreci, kalite kontrol süreci ve sorunun yalnızca temel sürümde güncellenip güncellenemeyeceği gibi birçok faktöre bağlıdır. 

Düzeltme bir veya daha fazla biçimde olabilir:

  1. Yeni sürüm
  2. NVIDIA tarafından sağlanan bir güvenlik güncellemesi
  3. Güncellemeyi veya yamayı üçüncü taraftan indirme ve yükleme talimatları
  4. Güvenlik açığını hafifleten geçici çözüm

Yukarıdaki hükümlere bakılmaksızın, NVIDIA sorunlar için kesin bir çözüm garantisi vermez ve tanımlanan tüm sorunlar çözülemeyebilir.

NVIDIA PSIRT’ye Katılım

Gururlu Üye:

İlk

NVIDIA, bir CVE Numaralandırma Yetkilisidir.

CVE

Müşteri Hakları: Garantiler, Destek ve Bakım

NVIDIA müşterilerinin herhangi bir NVIDIA yazılım ürünündeki garanti, destek ve bakım (güvenlik açıkları dahil) açısından hakları, NVIDIA ve müşteri arasındaki geçerli anlaşma ile yönetilir.

Bu web sayfasındaki ifadeler, hiçbir müşteri hakkını değiştirip genişletmez ya da ek garanti oluşturmaz. Ürün güvenlik açığı raporu dahil olmak üzere NVIDIA ürünlerindeki güvenlik açıklarıyla ilgili olarak NVIDIA'ya sağlanan tüm bilgiler yalnızca NVIDIA'ya ait olur.

Sorumluluk Reddi

NVIDIA’nın PSIRT süreci ve ilkeleri her bakımdan bildirim yapılmadan ve duruma göre değiştirilebilir. Herhangi bir sorun veya sorun sınıfı için yanıt garantisi verilmez. Belgede bağlantısı olan belgeler veya malzemeler üzerindeki bilgilerin kullanım riski size aittir. NVIDIA, bu belgeyi herhangi bir tarihte bildirim yapmadan değiştirme veya güncelleme hakkını saklı tutar.

TÜM NVIDIA BİLGİLERİ, TASARIM ÖZELLİKLERİ, BAŞVURU PANOLARI, DOSYALAR, ÇİZİMLER, TANILAMALAR, LİSTELER VE DİĞER BELGELER (BİRLİKTE VE AYRI AYRI “MALZEMELER”) “OLDUĞU GİBİ” SAĞLANMAKTADIR. NVIDIA MALZEMELERLE İLGİLİ AÇIK, ZIMNİ, KANUNİ VEYA BAŞKA ŞEKİLDE HİÇBİR GARANTİ SUNMAMAKTADIR. SATILABİLİRLİK, KALİTE YETERLİLİĞİ, BELİRLİ BİR AMACA UYGUNLUK VE HAK İHLALİNDEN KAÇINMA RUHSATLARI İÇİN DOLAYLI GARANTİ YA DA ESER KOŞULU DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ OLARAK BELİRTİLEN TÜM KOŞULLAR, BEYANLAR VE GARANTİLER YASALARIN İZİN VERDİĞİ ÖLÇÜDE DIŞARIDA TUTULUR.

Bilgilerin verildiği tarihte doğru ve güvenilir olduğu kabul edilir. Ancak NVIDIA Corporation bu bilgilerin kullanımından doğan sonuçlardan veya üçüncü tarafların kullanımından kaynaklanan herhangi bir patent ya da hak ihlalinden hiçbir şekilde sorumlu değildir. NVIDIA Corporation patenti veya patent hakları kapsamında dolaylı ya da başka bir şekilde lisans verilmez. Bu yayında bahsedilen özellikler bildirim yapılmadan değiştirilebilir. Bu yayın, daha önce sağlanan tüm bilgileri hükümsüz kılar ve bu bilgilerin yerine geçer. NVIDIA Corporation ürünleri, NVIDIA Corporation'ın açık yazılı onayı olmadığı sürece yaşam destek cihazlarında veya sistemlerinde kritik bileşen olarak kullanılamaz.

Şirket Bilgileri
Haberler ve Olaylar
Popüler Bağlantılar