Do oceny istotności zidentyfikowanych luk w zabezpieczeniach, firma NVIDIA wykorzystuje obecnie system Common Vulnerability Scoring System w wersji 3.0 (CVSS v3.0). System CVSS umożliwia zastosowanie metody wspólnej punktacji i wspólnego języka w celu określenia charakterystyki oraz skutków obecności luk w zabezpieczeniach. System CVSS ma za zadanie ocenę zagrożeń wynikających z danej luki w zabezpieczeniach. Model CVSS wykorzystuje trzy różne oceny i wyniki, na które składają się obliczenia bazowe, czasowe i środowiskowe - każde z nich opiera się na zestawie metryk. Pełny opis standardu, który jest utrzymywany przez organizację Forum of Incident Response and Security Teams (FIRST), można znaleźć pod adresem: https://www.first.org/cvss.
Firma NVIDIA stosuje się do wytycznych zawartych w dokumencie CVSS v3.0 Specification Document Qualitative Severity Rating Scale (https://www.first.org/cvss/specification-document) w celu określenia istotności luk, klasyfikując je zgodnie z poniższą tabelą:
Klasyfikacja zagrożeń bezpieczeństwa |
Wynik CVSS |
Krytyczne |
9.0 – 10.0 |
Wysokie |
7.0 – 8.9 |
Średnie |
4.0 – 6.9 |
Niskie |
.1 – 3.9 |
brak |
0.0 |
W określonych przypadkach firma NVIDIA zastrzega sobie prawo do odstąpienia od niniejszych wytycznych, jeśli dodatkowe czynniki nie zostaną prawidłowo uwzględnione w wyniku CVSS.
W stosownych przypadkach, Biuletyny dotyczące bezpieczeństwa NVIDIA zawierać będą uzyskany w oparciu o system CVSS v3.0 wynik bazowy i ewentualnie wynik czasowy. Ocena ryzyka firmy NVIDIA opiera się na uśrednionych wynikach uzyskanych za pomocą różnych systemów i nie musi odzwierciedlać rzeczywistego ryzyka dotyczącego Twojej lokalnej instalacji.
Firma NVIDIA zaleca skonsultowanie się ze specjalistą IT lub specjalistą ds. bezpieczeństwa w celu oceny ryzyka dotyczącego Twojej konkretnej konfiguracji i zachęca do wyliczenia oceny środowiska w oparciu o parametry Twojej sieci. Firma NVIDIA zaleca, aby w celu oceny ogólnego ryzyka wszyscy klienci brali pod uwagę wynik bazowy oraz wynik czasowy i/lub środowiskowy, który może mieć zastosowanie w ich otoczeniu. Taki ogólny wynik uwzględnia parametr czasowy i jest adekwatny do Twojego konkretnego środowiska. Aby odpowiednio reagować w swoim środowisku, powinieneś uwzględnić ten końcowy wynik, a także ocenę specjalisty ds. bezpieczeństwa lub specjalisty IT.