Bezpieczeństwo
Produktu

Firma NVIDIA poważnie podchodzi do kwestii bezpieczeństwa i stara się szybko oszacowywać i rozwiązywać związane z nim problemy. Gdy zgłaszane jest potencjalne naruszenie bezpieczeństwa, firma NVIDIA angażuje odpowiednie zasoby, aby dany problem przeanalizować, zweryfikować i podjąć odpowiednie działania mające na celu jego rozwiązanie.

NVIDIA PSIRT – zarządzanie informacjami o lukach w zabezpieczeniach

Celem zespołu ds. reagowania na incydenty naruszeń bezpieczeństwa produktu NVIDIA (PSIRT – Product Security Incident Response Team) jest minimalizowanie ryzyka klientów związanego z lukami w zabezpieczeniach poprzez dostarczanie aktualnych informacji i wskazówek oraz stosowanie środków zaradczych dotyczących luk w zabezpieczeniach naszych produktów. NVIDIA PSIRT to globalny zespół zajmujący się przyjmowaniem zgłoszeń dotyczących bezpieczeństwa produktów, prowadzeniem dochodzeń, wewnętrzną koordynacją, stosowaniem środków zaradczych dotyczących luk w zabezpieczeniach i ujawnianiem informacji na temat luk w zabezpieczeniach powiązanych z produktami NVIDIA.


Jednym z kluczowych zadań zespołu NVIDIA PSIRT jest koordynowanie działań i ujawnianie wszystkich zidentyfikowanych zewnętrznie luk w zabezpieczeniach produktów NVIDIA.

Zgłaszanie potencjalnych luk w zabezpieczeniach

NVIDIA przyjmuje raporty od niezależnych badaczy, organizacji branżowych, dostawców, klientów i innych źródeł, związanych z bezpieczeństwem produktów.

Aby dowiedzieć się więcej na temat zgłaszania potencjalnych luk w zabezpieczeniach, odwiedź stronę poświęconą zgłaszaniu luk w zabezpieczeniach.

Skoordynowane ujawnianie podatności / luk w zabezpieczeniach (Coordinated Vulnerability Disclosure)

NVIDIA stara się wypełniać założenia strategii skoordynowanego ujawniania podatności / luk w zabezpieczeniach (Coordinated Vulnerability Disclosure – CVD). CVD to proces, w ramach którego niezależne osoby, które odkryły lukę w zabezpieczeniach naszego produktu, kontaktują się bezpośrednio z NVIDIA, stwarzając nam możliwość zbadania i usunięcia luki, zanim zgłaszający ujawnią te informacje publicznie.

Zespół NVIDIA PSIRT będzie współpracować w trakcie badania luki w zabezpieczeniach ze zgłaszającymi lukę oraz – w stosownych przypadkach – dostarczać bieżących informacji na temat postępów w sprawie. Za zgodą zgłaszających, zespół NVIDIA PSIRT może umieścić informacje o nich na naszej stronie z podziękowaniami za wykrycie aktualnej luki w zabezpieczeniach produktu i zgłoszenie tego problemu bezpośrednio naszej firmie. Po opublikowaniu przez NVIDIA informacji o usunięciu luki w zabezpieczeniach lub wydaniu aktualizacji jej dotyczącej, zachęcamy zgłaszających do publicznego jej omówienia.

Postępowanie zgodnie ze strategią CVD pozwala NVIDIA chronić swoich klientów, jednocześnie koordynując publiczne ujawnianie informacji dotyczących bezpieczeństwa oraz odpowiednio uhonorować zgłaszających daną lukę.

Czasami NVIDIA wykryje luki w zabezpieczeniach produktów innych producentów. Jeśli tak się stanie, NVIDIA będzie postępować zgodnie ze standardowym procesem skoordynowanego ujawniania podatności / luk w zabezpieczeniach i poinformuje o problemie  producenta, którego dotyczy zidentyfikowany problem, lub zewnętrzne centrum koordynacyjne.

Podziękowania NVIDIA

Choć obecnie NVIDIA nie prowadzi programu nagród za zgłoszone błędy, to publikujemy podziękowania w przypadku zgłoszonego z zewnątrz problemu związanego z bezpieczeństwem i rozwiązanego w ramach naszej polityki skoordynowanego ujawniania podatności / luk w zabezpieczeniach.

  • Rozwiązanym problemom w kodzie produktu NVIDIA, wymagającym od klienta pobrania środków zaradczych, przyznawany jest numer CVE. Zamieszczamy także podziękowania za zgłoszenie problemu, publikowane w biuletynie bezpieczeństwa.
  • Na naszej stronie z podziękowaniami zamieszczamy również informacje dotyczące zgłoszonych problemów związanych z bezpieczeństwem naszych usług w chmurze, które nie wymagają od klientów pobierania poprawek zabezpieczających. Zespół PSIRT zastrzega sobie prawo do podjęcia decyzji indywidualnie dla każdego przypadku.

Subskrypcja biuletynów i aktualizacji dotyczących bezpieczeństwa

Lista opublikowanych Biuletynów bezpieczeństwa znajduje się na stronie Biuletynów bezpieczeństwa NVIDIA.

Zdecydowanie zalecamy klientom subskrybowanie powiadomień o Biuletynach bezpieczeństwa NVIDIA w celu otrzymywania informacji o wstępnych wydaniach oraz istotnych poprawkach do Biuletynów bezpieczeństwa NVIDIA.

Subskrypcję powiadomień możesz zamówić tutaj.

Aby uzyskać informacje na temat Biuletynów bezpieczeństwa NVIDIA, zapoznaj się z sekcją  Biuletyny bezpieczeństwa niniejszego dokumentu.

Zapytania od mediów i agencji PR dotyczące informacji o lukach w zabezpieczeniach NVIDIA

Prosimy skorzystać z wymienionych tutaj kontaktów w ramach komunikacji korporacyjnej.

NVIDIA PSIRT – proces zarządzania informacjami o lukach w zabezpieczeniach

Poniższa grafika ilustruje proces postępowania zespołu NVIDIA PSIRT na wysokim szczeblu.

Ilustracja 1. Proces postępowania zespołu NVIDIA PSIRT (Product Security Incident Response Team)

policies-image-400

Ocena zagrożenia bezpieczeństwa w oparciu o system CVSS (Common Vulnerability Scoring System)

Do oceny istotności zidentyfikowanych luk w zabezpieczeniach NVIDIA wykorzystuje obecnie system Common Vulnerability Scoring System w wersji 3.1 (CVSS v3.1). System CVSS umożliwia zastosowanie metody wspólnej punktacji i wspólnego języka w celu określenia charakterystyki oraz skutków luk w zabezpieczeniach. System CVSS ma za zadanie ocenę zagrożeń wynikających z danej luki w zabezpieczeniach. Model CVSS wykorzystuje trzy różne miary lub punktacje, na które składają się wyliczenia bazowe, czasowe i środowiskowe, a każde z nich składa się z zestawu wskaźników. Pełny opis standardu, który jest utrzymywany przez organizację Forum of Incident Response and Security Teams (FIRST), można znaleźć pod adresem: https://www.first.org/cvss.

NVIDIA stosuje się do wytycznych zawartych w dokumencie „CVSS v3.1 Specification Document Qualitative Severity Rating Scale” (https://www.first.org/cvss/specification-document) w celu określenia współczynnika istotności luk, klasyfikując je zgodnie z poniższą tabelą:

Klasyfikacja zagrożeń bezpieczeństwa Wynik CVSS
Krytyczne 9,0 – 10,0
Wysokie 7,0 – 8,9
Średnie 4,0 – 6,9
Niskie 0,1 – 3,9
Brak 0,0

W określonych przypadkach NVIDIA zastrzega sobie prawo do odstąpienia od niniejszych wytycznych, jeśli wynik CVSS nie oddaje prawidłowo dodatkowych czynników.

W stosownych przypadkach Biuletyny bezpieczeństwa NVIDIA będą zawierać wynik bazowy, uzyskany w oparciu o system CVSS v3.1. NVIDIA koncentruje się tylko na grupie wskaźników bazowych, ponieważ ma ona największą wartość dla naszych klientów i reprezentuje swoiste cechy podatności / luki w zabezpieczeniach. Ocena ryzyka przez NVIDIA opiera się na uśrednionych wynikach, uzyskanych za pomocą zróżnicowanego zestawu systemów i nie musi odzwierciedlać rzeczywistego ryzyka dotyczącego Twojej lokalnej instalacji.

NVIDIA zaleca skonsultowanie się ze specjalistą IT lub specjalistą ds. bezpieczeństwa, aby ocenić ryzyko dotyczące Twojej konkretnej konfiguracji i zachęca do wyliczenia wyniku środowiskowego w oparciu o parametry Twojej sieci. NVIDIA zaleca, aby w celu oceny ogólnego ryzyka wszyscy klienci brali pod uwagę wynik bazowy oraz wynik czasowy i/lub środowiskowy, które mogą mieć znaczenie w ich otoczeniu. Taki ogólny wynik uwzględnia parametr czasowy i jest dopasowany do Twojego konkretnego środowiska. W celu określenia reakcji adekwatnej we własnym środowisku prosimy o uwzględnienie oceny problemu przez specjalistę ds. bezpieczeństwa lub ds. IT i tego wyniku końcowego.

Polityka komunikacji dotyczącej luk w zabezpieczeniach

W celu określenia odpowiedniej strategii komunikacji, NVIDIA stosuje się do następujących wytycznych dotyczących luk w zabezpieczeniach oprogramowania nienależącego do stron trzecich:

Klasyfikacja zagrożeń bezpieczeństwa Wynik CVSS Strategia komunikacji
Krytyczne 9,0 – 10,0 Biuletyn bezpieczeństwa NVIDIA
Wysokie 7,0 – 8,9
Średnie 4,0 – 6,9
Niskie 3,9 lub mniej Informacja o wersji produktu

Jeśli wystąpi problem związany z bezpieczeństwem komponentu oprogramowania strony trzeciej, który jest wykorzystany w produkcie NVIDIA, wówczas NVIDIA może opublikować Biuletyn bezpieczeństwa. W przypadku publikacji Biuletynu bezpieczeństwa w związku z luką w zabezpieczeniach komponentu oprogramowania strony trzeciej, NVIDIA wykorzystuje zazwyczaj wynik CVSS uzyskany przez twórcę komponentu. W niektórych przypadkach NVIDIA może skorygować wynik CVSS tak, aby odzwierciedlał wpływ na produkt NVIDIA.

W określonych przypadkach NVIDIA zastrzega sobie prawo do odstąpienia od niniejszych wytycznych, jeśli wynik CVSS nie oddaje prawidłowo dodatkowych czynników.

Biuletyny bezpieczeństwa

W większości przypadków NVIDIA będzie informować klientów, gdy określony zostanie praktyczny sposób obejścia luki w zabezpieczeniach lub zostanie wydana aktualizacja zabezpieczeń. Powiadomienie odbywa się w ramach ukierunkowanej komunikacji lub poprzez publikację Biuletynu bezpieczeństwa. Przed publikacją Biuletynu bezpieczeństwa zespół NVIDIA PSIRT zakończy proces postępowania w sprawie wykrytej luki i ustali, że istnieją odpowiednie aktualizacje oprogramowania lub metody obejścia, pozwalające usunąć lukę w zabezpieczeniach, bądź też planowane jest publiczne ujawnienie środków zaradczych w celu wyeliminowania luki w zabezpieczeniach.

Biuletyny bezpieczeństwa mają za zadanie dostarczanie wyważonych informacji, które zapewnią klientom wystarczająco szczegółowe dane, aby mogli się zabezpieczyć, pomijając jednak te informacje, które mogłyby zostać wykorzystane przez szkodliwych użytkowników. W stosownych przypadkach Biuletyny bezpieczeństwa NVIDIA zawierają zwykle następujące informacje:

  1. Zagrożone produkty i ich wersje
  2. Identyfikator CVE (Common Vulnerability Enumeration) danej luki w zabezpieczeniach (zobacz na https://cve.mitre.org)
  3. Krótki opis luki w zabezpieczeniach i potencjalne zagrożenie wynikające z jej wykorzystania
  4. Ocena CVSS (Common Vulnerability Scoring System) określająca istotność danej luki w zabezpieczeniach (zobacz na https://www.first.org/cvss/user-guide.html)
  5. Szczegóły dotyczące środków zaradczych, jak aktualizacje zabezpieczeń, zmniejszenie wpływu luki w zabezpieczeniach i inne czynności wymagane przez klienta
  6. Informacja o zgłaszających, którzy wykryli lukę w zabezpieczeniach oraz podziękowania za współpracę z NVIDIA w ramach systemu Coordinated Vulnerability Disclosure.

NVIDIA nie będzie dostarczać żadnych dodatkowych informacji o specyfice luk w zabezpieczeniach, poza informacjami podanymi w Biuletynie bezpieczeństwa oraz powiązanej dokumentacji, obejmującej informacje o wersji, artykuły z bazy wiedzy, często zadawane pytania itp. NVIDIA nie rozpowszechnia kodu programu wykorzystującego lukę ani kodu dowodu słuszności koncepcji dla zidentyfikowanych luk w zabezpieczeniach.

Zgodnie z obowiązującymi w branży praktykami, NVIDIA nie udostępnia podmiotom zewnętrznym wyników wewnętrznych testów zabezpieczeń ani innych rodzajów działań związanych z bezpieczeństwem. Prosimy zwrócić uwagę, że każdy przypadek skanowania zabezpieczeń systemów produkcyjnych NVIDIA zostanie uznany za próbę ich naruszenia. W przypadku partnerów OEM, prosimy o uzgodnienie potrzeb ze swoim menedżerem programu NVIDIA.

Biuletyny bezpieczeństwa NVIDIA publikowane są na stronie Biuletynów bezpieczeństwa.  Subskrypcję powiadomień możesz zamówić tutaj.

Powiadomienia związane z bezpieczeństwem

NVIDIA może wydać specjalny komunikat, aby szybko i odpowiednio zareagować na publiczne ujawnienie luki w zabezpieczeniach, gdy może ona wzbudzić duże zainteresowanie opinii publicznej lub jeśli prawdopodobne jest istnienie programów wykorzystujących daną lukę, lub zachodzi podejrzenie, że zostanie ona aktywnie wykorzystana. W takich przypadkach NVIDIA może przyspieszyć publikację odpowiednich informacji oraz może, choć nie musi, dołączyć do nich kompletny zestaw poprawek lub metod obejścia danej luki.  Informacje takie będą publikowane jako Powiadomienia związane z bezpieczeństwem na stronie Biuletynów bezpieczeństwa.

Środki zaradcze dotyczące luk w zabezpieczeniach

NVIDIA poważnie podchodzi do kwestii bezpieczeństwa i pracuje nad odpowiednim oszacowywaniem i rozwiązywaniem związanych z nimi problemów. Ramy czasowe reakcji zależą od wielu czynników, w tym istotności zgłaszanej luki, zagrożonego produktu, aktualnego cyklu produkcyjnego, cyklów kontroli jakości oraz tego, czy dany problem może zostać rozwiązany wyłącznie w formie dużej aktualizacji. 

Środki zaradcze mogą uwzględniać jedną lub kilka z poniższych form:

  1. Nowe wydanie
  2. Aktualizacja zabezpieczeń dostarczona przez NVIDIA
  3. Instrukcje dotyczące pobrania i zainstalowania aktualizacji lub poprawki innej firmy
  4. Metody obejścia luki minimalizujące zagrożenie.

Niezależnie od powyższego, NVIDIA nie gwarantuje konkretnego rozwiązania problemów i nie wszystkie zidentyfikowane problemy mogą być rozwiązane.

Uczestnictwo NVIDIA PSIRT

Dumny uczestnik

NVIDIA jest organem nadającym identyfikatory CVE.

Prawa klienta: gwarancje, wsparcie, utrzymanie

Prawa klientów NVIDIA w zakresie gwarancji, wsparcia technicznego i utrzymania, w tym luk w zabezpieczeniach, związane z dowolnym oprogramowaniem NVIDIA, regulowane są odpowiednią umową między NVIDIA i poszczególnymi klientami.

Oświadczenia na tej stronie nie modyfikują ani nie rozszerzają żadnych praw klienta, ani nie tworzą żadnych dodatkowych gwarancji. Wszelkie informacje przekazywane NVIDIA, dotyczące luk w zabezpieczeniach produktów NVIDIA, w tym wszystkie informacje zawarte w zgłoszeniu dotyczącym luki w zabezpieczeniach produktu, pozostają informacjami dostępnymi wyłącznie dla NVIDIA.

Zastrzeżenie

Wszystkie aspekty dotyczące procesu postępowania i polityki zespołu PSIRT NVIDIA mogą ulec zmianie bez powiadomienia i indywidualnie dla każdego przypadku. Nie gwarantujemy reakcji na żaden konkretny problem ani rodzaj problemów. Wykorzystanie informacji zawartych w dokumencie lub materiałach powiązanych z dokumentem odbywa się na własne ryzyko. NVIDIA zastrzega sobie prawo do zmiany lub aktualizacji tego dokumentu bez powiadomienia i w dowolnym momencie.

WSZYSTKIE INFORMACJE NVIDIA, SPECYFIKACJE PROJEKTU, REFERENCYJNE PŁYTKI DRUKOWANE, PLIKI, RYSUNKI, DIAGNOSTYKA, LISTY I INNE DOKUMENTY (RAZEM I OSOBNO „MATERIAŁY”) DOSTARCZANE SĄ NA ZASADZIE „W STANIE ZASTANYM”. NVIDIA NIE UDZIELA ŻADNYCH GWARANCJI, WYRAŹNYCH, DOMNIEMANYCH, WYNIKAJĄCYCH Z PRZEPISÓW ANI INNYCH, W ODNIESIENIU DO MATERIAŁÓW I W MAKSYMALNYM ZAKRESIE DOZWOLONYM PRZEZ PRAWO WYŁĄCZA WSZELKIE WYRAŹNE LUB DOMNIEMANE WARUNKI, OŚWIADCZENIA I GWARANCJE, W TYM WSZELKIE GWARANCJE DOROZUMIANE CO DO NARUSZEŃ PRAW AUTORSKICH, MOŻLIWOŚCI SPRZEDAŻY, SATYSFAKCJONUJĄCEJ JAKOŚCI, PRZYDATNOŚCI DO OKREŚLONEGO CELU I NIENARUSZALNOŚCI.

Uznaje się, że informacje podane w niniejszym dokumencie są dokładne i rzetelne w momencie ich dostarczenia. Jednakże NVIDIA Corporation nie ponosi odpowiedzialności za konsekwencje wykorzystania tych informacji bądź jakiekolwiek naruszenia patentów lub innych praw stron trzecich, które mogą wyniknąć z wykorzystania podanych tu informacji. NVIDIA Corporation nie przyznaje żadnych dorozumianych lub innych praw licencyjnych w zakresie praw patentowych. Specyfikacje wymienione w niniejszej publikacji mogą ulec zmianie bez powiadomienia. Niniejsza publikacja zastępuje wszelkie poprzednio udostępnione informacje. Niedozwolone jest stosowanie produktów NVIDIA Corporation jako krytycznych podzespołów w urządzeniach lub systemach podtrzymujących życie bez pisemnej zgody NVIDIA Corporation.