產品
安全性

NVIDIA 重視各種安全考量,而且會設法迅速評估以力求解決產品安全問題。每當使用者回報安全考量時,NVIDIA 都會交由適當的資源進行分析、驗證並提供修正措施,以解決問題。

NVIDIA PSIRT – 漏洞管理

NVIDIA 產品安全事件回應團隊 (PSIRT) 的目標在於提供產品漏洞的即時資訊、指引及補救措施,盡可能降低安全漏洞對客戶帶來的風險。NVIDIA PSIRT 是一個跨國團隊,負責接收、調查、內部協調、補救及揭露 NVIDIA 產品的相關安全性漏洞資訊。


NVIDIA PSIRT 的其中一項重要職責,是針對由外部人士發現的所有 NVIDIA 產品漏洞進行協調回應和揭露事宜。

回報潛在安全性漏洞

NVIDIA 歡迎獨立研究人員、產業組織、廠商、客戶和其他來源回報有關產品安全的問題。

若要進一步瞭解如何回報潛在漏洞,請前往「回報漏洞」頁面。

協調漏洞揭露

NVIDIA 致力遵循協調漏洞揭露 (Coordinated Vulnerability Disclosure,CVD)。CVD 程序可供在我們產品中發現漏洞的獨立回報者,在公開揭露資訊之前直接聯絡 NVIDIA,讓我們有機會調查及補救漏洞。

NVIDIA PSIRT 將在漏洞調查期間全程與回報者合作,並且會適時提供回報者有關進度的更新資訊。在取得回報者的同意之下,NVIDIA PSIRT 會將回報者列於我們的「致謝」頁面,表揚他們找到確切產品漏洞及私下回報問題的行為。當 NVIDIA 公布更新或緩解的資訊後,歡迎回報者公開討論該漏洞。

遵循 NVIDIA 的 CVD 不僅能讓我們保護客戶,同時還能協調公開揭露事宜,以及適切地表揚發現漏洞的回報者。

NVIDIA 有時候會發現其他廠商產品的安全性漏洞。若發生這種情況,NVIDIA 將遵循標準協調漏洞揭露程序,將已發現的問題告知 受影響的廠商或協力廠商協調中心。

NVIDIA 致謝名單

雖然 NVIDIA 目前沒有漏洞回報獎勵計畫,但我們會根據協調漏洞揭露政策,在解決外部回報的安全性問題後,將回報者加入我們的致謝名單。

  • NVIDIA 產品代碼中的已解決問題具有 CVE 編號,需要客戶下載修復程式。我們也會在安全性佈告欄中提供問題的致謝名單。
  • 我們致謝名單網站上的內容,針對的是我們雲端服務安全漏洞,客戶無須另外下載修復程式。PSIRT 保留視個案情況做決定的權利。

訂閱安全性布告欄和更新

已發佈的安全性布告欄清單位於 NVIDIA「安全性布告欄」頁面。

我們強烈建議客戶訂閱 NVIDIA 安全性布告欄通知,隨時取得 NVIDIA 安全性布告欄的首次發行或重大修訂相關資訊。

您可以在這裡訂閱通知。

如需 NVIDIA 安全性布告欄的相關資訊,請參閱本文件的「安全性布告欄」段落。

有關 NVIDIA 安全性漏洞資訊的媒體或公關諮詢

請聯絡此處列出的任一位企業通訊聯絡人。

NVIDIA PSIRT 漏洞管理流程

下圖清楚呈現 NVIDIA PSIRT 流程。

圖 1. NVIDIA 產品安全事件回應團隊流程

policies-image-400

使用通用漏洞評分系統 (CVSS) 評估安全風險

NVIDIA 目前使用通用漏洞評分系統 3.1 版 (CVSS v3.1) 來評估已發現漏洞的嚴重性等級。CVSS 讓我們能透過通用的評分方法和語言傳達漏洞的特性和影響。CVSS 試圖建立一套度量基準,讓我們據以衡量漏洞帶來的安全疑慮。CVSS 模式使用基本、時間和環境等三種不同的度量或評分計算,每種計算都含有一組計量方式。完整的標準由「事件回應和安全團隊論壇」(Forum of Incident Response and Security Teams,FIRST) 負責維護。如需相關資訊,請造訪  https://www.first.org/cvss

NVIDIA 依照 CVSS v3.1 規格文件「性質嚴重性量表」(Qualitative Severity Rating Scale,https://www.first.org/cvss/specification-document) 來定義嚴重性評等,如下表所示:

嚴重性影響評等 CVSS 評分
嚴重 9.0 – 10.0
7.0 – 8.9
4.0 – 6.9
0.1 – 3.9
0.0

倘若 CVSS 評分有其他未妥善考量到的因素,NVIDIA 保留不遵從這些指引的權利。

NVIDIA 安全性布告欄將盡可能提供 CVSS v3.1 基本評分。NVIDIA 只關注基本指標組,因為此指標組會為我們的客戶帶來最大的價值,並且能代表漏洞的內在特徵。NVIDIA 的風險評估乃基於多種安裝系統的平均風險,不一定能真實呈現您本機安裝的風險。

NVIDIA 建議您諮詢安全或 IT 專業人員來評估特定設定的風險,並鼓勵您根據網路參數計算環境評分。NVIDIA 建議所有客戶將基本評分及任何與環境相關的時間和/或環境評分納入考量,藉此評估整體風險。這裡的整體評分代表針對您的特定環境,與特定時間點上的風險評分。您應使用安全或 IT 專業人員的問題評估和此處的最終評分,以針對您的環境排列回應的優先順序。

漏洞通訊政策

NVIDIA 使用以下指引來評估非第三方軟體漏洞,進而決定合適的通訊方案:

嚴重性影響評等 CVSS 評分 通訊方案
嚴重 9.0–10.0 NVIDIA 安全性布告欄
7.0-8.9
4.0-6.9
3.9 或以下 產品版本資訊

如果 NVIDIA 產品使用的第三方軟體元件出現安全性問題,NVIDIA 會發佈安全性布告欄。如果 NVIDIA 發佈有關第三方軟體元件漏洞的安全性布告欄,通常會使用元件製造商提供的 CVSS 評分。在某些情況下,NVIDIA 會調整 CVSS 評分來反應漏洞對 NVIDIA 產品的影響。

倘若 CVSS 評分有其他未妥善考量到的因素,NVIDIA 保留不遵從這些指引的權利。

安全性布告欄

在大多數的情況下,當解決某安全性漏洞的因應措施或安全性更新證實可行時,NVIDIA 通常會通知客戶。通知方法不外乎是直接聯絡受影響客戶,或是張貼安全性布告欄。在張貼安全性布告欄前,NVIDIA PSIRT 會先完成漏洞回應程序,並且判斷目前是否有足以解決漏洞的軟體更新或因應措施,或是計劃日後公開揭露補救措施解決漏洞之後,才會張貼安全性布告欄。

安全性布告欄的目的在於提供平衡的資訊數量,讓客戶能取得足夠的詳細資訊保護自己,而非揭示鉅細靡遺的細節讓心懷不軌的使用者濫用資訊。如果可行的話,NVIDIA 安全性布告欄通常包含以下資訊:

  1. 受影響的產品和版本
  2. 漏洞的通用漏洞列舉 (Common Vulnerability Enumeration,CVE) 識別碼 (請參閱 https://cve.mitre.org (英文))
  3. 漏洞的簡短描述和受到攻擊時的可能影響
  4. 漏洞的通用漏洞評分系統 (CVSS) 嚴重性評等 (請參閱  https://www.first.org/cvss/user-guide.html (英文))
  5. 補救措施的詳細資料,如安全性更新、緩和措施或其他客戶需要的行動。
  6. 表揚發現漏洞的回報者,並感謝他們願意與 NVIDIA 合作進行協調漏洞揭露

除了安全性布告欄和版本資訊、知識庫文章、常見問題等相關文件所提供的資訊之外,NVIDIA 不提供其他有關漏洞的具體資訊。NVIDIA 不散佈已發現漏洞的攻擊/概念性驗證程式碼。

為遵循產業規範,NVIDIA 不會與外部實體分享內部安全測試或其他類型安全活動的結果發現。請注意,任何掃描 NVIDIA 安全生產系統的行為都將視為攻擊。如果您是 OEM 合作夥伴,請與 NVIDIA 方案經理協調您的需求。

NVIDIA 安全性布告欄會張貼在「安全性布告欄」頁面中。您可以在這裡訂閱通知。

安全性公告

當漏洞引起大眾關注、可能會遭到攻擊或預期遭到頻繁攻擊時,NVIDIA 會發佈特別的通訊內容來針對公開揭露資訊做出迅速而適切的回應。此時,為了加快通訊的效力,NVIDIA 不一定會提供完整的修補程式或因應措施。 我們將這種內容標示為安全性公告,並且會張貼在「安全性布告欄」頁面中。

漏洞補救

NVIDIA 重視各種安全考量,而且會設法評估以力求盡快解決產品安全問題。回應的時間表會受到許多因素所影響,包括:嚴重性、受影響的產品、目前的開發週期、QA 週期,以及問題是否只能在主要版本中更新。 

補救措施可能會採用以下一或多種形式提供:

  1. 發行新版本
  2. NVIDIA 提供的安全性更新
  3. 從第三方下載及安裝更新或修補程式的說明
  4. 緩解漏洞風險的因應措施

儘管有前述規定,NVIDIA 仍無法保證問題會有特定解決方案,或是所有證實的問題皆能獲得解決。

NVIDIA PSIRT Participation

榮幸加入:

NVIDIA 是 CVE 編號機構。

客戶權利:保固、支援及維護

NVIDIA 客戶的保固、支援及維護相關權利 (包括任何 NVIDIA 軟體產品中的漏洞),均受到 NVIDIA 與每位客戶之間的合約所規範。

本網頁中的敘述並未修改或延伸客戶的任何權利,也未增列任何額外的保固項目。所有提供給 NVIDIA 的 NVIDIA 產品漏洞資訊 (包括產品漏洞報告中的資訊) 都應成為 NVIDIA 的獨有資訊。

免責聲明

NVIDIA PSIRT 流程和政策的各項事宜應視實際情況而定,如有變更,恕不另行通知。NVIDIA 不保證對任何特定問題或問題類別做出回應。使用本文件連結之文件或素材中的資訊應自行承擔風險,NVIDIA 恕不負責。NVIDIA 保留隨時變更或更新文件而不另行通知的權利。

所有 NVIDIA 資訊、設計規格、公版、檔案、繪圖、診斷、清單和其他文件 (統稱和獨稱為「素材」) 均依「現況」提供。NVIDIA 對於素材的內容不做任何明示、暗示、法定或其他保證,而且在法律允許的最大範圍內,有關所有明示或暗示的條件、聲明和保證,包含任何默示擔保或所有權條件、適銷性、品質滿意度、針對特定用途的適用性及非侵權證明,NVIDIA 概不負責。

我們認為資訊在發表時是正確而可靠的。然而,對於使用這類資訊,或使用資訊導致侵犯專利或其他第三方權利的結果,NVIDIA Corporation 概不負責。NVIDIA Corporation 未根據任何專利或專利權以暗示或其他方式授予授權。本內容發表提及的規格若有變更,恕不另行通知。本內容可取代與替代先前提供的任何資訊。若未取得 NVIDIA Corporation 的明確書面同意,禁止將 NVIDIA Corporation 產品使用於維生裝置或系統。