Políticas da NVIDIA PSIRT

Sumário

Atualizado: fevereiro de 2022

NVIDIA PSIRT: Gestão de Vulnerabilidades
Comunicação de Possível Vulnerabilidade de Segurança
Divulgação Coordenada de Vulnerabilidades
Agradecimentos da NVIDIA
Assinando Boletins e Atualizações de Segurança
Perguntas da Mídia ou da Equipe de RP sobre Informações de Vulnerabilidades de Segurança da NVIDIA
Processo de Gestão de Vulnerabilidades da NVIDIA PSIRT
Avaliando o Risco de Segurança Usando o Common Vulnerability Scoring System (CVSS)
Política de Comunicação de Vulnerabilidades
Boletins de Segurança
Aviso de Segurança
Correção de Vulnerabilidades
Participação da NVIDIA PSIRT
Direitos do Cliente: Garantias, Suporte e Manutenção
Isenção de Responsabilidade

NVIDIA PSIRT: Gestão de Vulnerabilidades

O objetivo da Equipe de Resposta a Incidentes de Segurança de Produtos da NVIDIA (PSIRT - Product Security Incident Response Team) é minimizar o risco associados a vulnerabilidades de segurança para os clientes oferecendo informações úteis, diretrizes e correção de vulnerabilidades em nossos produtos. A NVIDIA PSIRT é uma equipe mundial que trata do recebimento, da investigação, da coordenação interna, da correção e da divulgação de informações sobre vulnerabilidades de segurança relacionadas aos produtos da NVIDIA.

Uma das principais responsabilidades da PSIRT da NVIDIA é coordenar a resposta e a divulgação de todas as vulnerabilidades dos produtos da NVIDIA identificadas externamente.

Comunicação de Possível Vulnerabilidade de Segurança

A NVIDIA recebe relatórios de pesquisadores independentes, organizações do setor, fornecedores, clientes e outras fontes preocupadas com a segurança de produtos.

Para saber como comunicar uma possível vulnerabilidade, acesse a página Comunicação de Vulnerabilidades.

Divulgação Coordenada de Vulnerabilidades

A NVIDIA tenta sempre seguir a Divulgação Coordenada de Vulnerabilidades (CVD - Coordinated Vulnerability Disclosure). A CVD é um processo pelo qual profissionais independentes que identificam vulnerabilidades em nossos produtos entram em contato diretamente com a NVIDIA para que façamos a investigação e a correção das vulnerabilidades antes que a pessoa divulgue a informação ao público.

A NVIDIA PSIRT colabora com o profissional durante toda a investigação da vulnerabilidade e divulga atualizações sobre o progresso conforme apropriado. Se o profissional aceitar, a NVIDIA PSIRT poderá agradecer a ele na página Agradecimentos por identificar uma vulnerabilidade válida no produto e comunicar o problema de forma privada. Depois que uma informação sobre atualização ou mitigação for divulgada publicamente pela NVIDIA, o profissional poderá tratar da vulnerabilidade de modo público.

Com a CVD da NVIDIA, podemos proteger nossos clientes, coordenar divulgações públicas e fazer os devidos agradecimentos aos profissionais pela descoberta dos problemas.

Ocasionalmente, a NVIDIA descobrirá vulnerabilidades de segurança em produtos de outros fornecedores. Se isso ocorrer, a NVIDIA seguirá o processo padrão de Divulgação Coordenada de Vulnerabilidades e comunicará o problema identificado ao fornecedor afetado ou a um centro de coordenação de terceiros.

Agradecimentos da NVIDIA

Embora no momento a NVIDIA não tenha um programa de recompensa por bugs, fazemos os devidos agradecimentos quando um problema de segurança identificado externamente é apresentado, conforme nossa política de CVD.

O número CVE é apresentado para problemas resolvidos no código do produto da NVIDIA que exigem que um cliente faça download de uma correção. Também fazemos os agradecimentos no boletim de segurança do problema.
A nota no site de agradecimentos é apresentada para problemas de segurança identificados em nossos serviços em cloud que não exigem que os clientes façam download de uma correção para garantir a proteção. A PSIRT se reserva o direito de tomar decisões caso a caso.

Assinando Boletins e Atualizações de Segurança

A lista de Boletins de Segurança publicados se encontra na página Boletins de Segurança da NVIDIA

Recomendamos que os clientes assinem as notificações para receber informações sobre o lançamento inicial ou as principais revisões dos Boletins de Segurança da NVIDIA.

Assine as notificações aqui.

Para obter informações sobre os Boletins de Segurança da NVIDIA, consulte a seção Boletins de Segurança deste documento.

Perguntas da Mídia ou da Equipe de RP sobre Informações de Vulnerabilidades de Segurança da NVIDIA

Entre em contato com um dos representantes de comunicação corporativa informados aqui.

Processo de Gestão de Vulnerabilidades da NVIDIA PSIRT

A imagem a seguir mostra o processo geral da NVIDIA PSIRT.

Figura 1. Processo da Equipe de Resposta a Incidentes de Segurança de Produtos da NVIDIA

Avaliando o Risco de Segurança Usando o Common Vulnerability Scoring System (CVSS)

Atualmente, a NVIDIA usa a versão 3.1 do Common Vulnerability Score System (CVSS v3.1) para avaliar o nível de gravidade das vulnerabilidades identificadas. O CVSS oferece um método de pontuação e uma linguagem comuns para comunicar as características e o impacto das vulnerabilidades. Ele tenta estabelecer o nível de preocupação causado pela vulnerabilidade. O modelo do CVSS usa três medidas ou pontuações distintas com cálculos Básicos, Temporais e Ambientais, cada um formado por um conjunto de métricas. O padrão completo, que é mantido pelo Forum of Incident Response and Security Teams (FIRST), se encontra em: https://www.first.org/cvss.

A NVIDIA segue a CVSS v3.1 Specification Document Qualitative Severity Rating Scale (https://www.first.org/cvss/specification-document) para definir classificações de gravidade, conforme mostrado na tabela abaixo:

Classificação do Impacto na Segurança	Pontuação do CVSS
Crítica	9,0 – 10,0
Alta	7,0 – 8,9
Média	4,0 – 6,9
Baixa	0,1 – 3,9
Nenhuma	0,0

A NVIDIA se reserva o direito de não seguir as diretrizes em casos específicos se fatores adicionais não forem devidamente identificados na pontuação do CVSS.

Se for o caso, os Boletins de Segurança da NVIDIA apresentarão a pontuação básica do CVSS v3.1. A NVIDIA prioriza apenas o grupo de métricas Básicas, pois elas são as que mais agregam valor aos nossos clientes, além de representar os aspectos inerentes às vulnerabilidades. A avaliação de riscos da NVIDIA é baseada em uma média de riscos em um conjunto diversificado de sistemas instalados e pode não representar os verdadeiros riscos de seu sistema local.

A NVIDIA recomenda consultar um profissional de segurança ou IT que avalie o risco de sua configuração específica, além calcular a pontuação Ambiental conforme os parâmetros de sua rede. A NVIDIA sugere que todos os clientes levem em conta a pontuação Básica e as pontuações Temporais e/ou Ambientais que possam ser relevantes ao ambiente para avaliar o risco geral. Essa pontuação geral representa um momento específico e é adaptada ao seu ambiente específico. Use a avaliação do problema feita por um profissional de segurança ou IT e a pontuação final para priorizar as respostas no ambiente.

Política de Comunicação de Vulnerabilidades

A NVIDIA usa as seguintes diretrizes para vulnerabilidades de softwares que não são de terceiros para definir o Plano de Comunicação adequado:

Classificação do Impacto na Segurança	Pontuação do CVSS	Plano de Comunicação
Crítica	9,0 – 10,0	Boletim de Segurança da NVIDIA
Alta	7,0 – 8,9
Média	4,0 – 6,9
Baixa	3,9 ou menos	Nota de Versão do Produto

Caso haja um problema de segurança em um componente de software de terceiros que é usado em um produto da NVIDIA, a NVIDIA poderá publicar um Boletim de Segurança. Se a publicação ocorrer, a NVIDIA usará a pontuação do CVSS fornecida pelo criador do componente. Em algumas situações, a NVIDIA pode ajustar a pontuação do CVSS para refletir o impacto no produto da empresa.

A NVIDIA se reserva o direito de não seguir as diretrizes em casos específicos se fatores adicionais não forem devidamente identificados na pontuação do CVSS.

Boletins de Segurança

Na maioria dos casos, a NVIDIA notifica os clientes quando há uma solução prática identificada ou atualização de segurança para uma vulnerabilidade. A notificação é feita pelo envio de um comunicado individual ou pela publicação de um Boletim de Segurança. Antes de publicar o Boletim de Segurança, a NVIDIA PSIRT conclui o processo de resposta à vulnerabilidade e decide se há atualizações de software ou soluções alternativas suficientes para corrigir a vulnerabilidade ou se uma correção será divulgada ao público em um momento posterior para resolver as vulnerabilidades.

Tentamos apresentar nos Boletins de Segurança um número razoável de informações com detalhes suficientes para que os clientes possam se proteger e sem divulgar mais do que o necessário, de modo que usuários mal-intencionados não se aproveitem dos dados. Geralmente, os Boletins de Segurança da NVIDIA trazem as seguintes informações, conforme o caso:

Produtos e versões afetados
Identificador da Common Vulnerability Enumeration (CVE) da vulnerabilidade (acesse https://cve.mitre.org)
Breve descrição da vulnerabilidade e possível impacto caso ela seja explorada
A classificação de gravidade do Common Vulnerability Scoring System (CVSS) referente à vulnerabilidade (acesse https://www.first.org/cvss/user-guide.html)
Detalhes da correção, como atualização de segurança, mitigação ou outra medida que o cliente precisa tomar
Crédito ao profissional que identificou a vulnerabilidade e agradecimento pela colaboração com a NVIDIA na Divulgação Coordenada de Vulnerabilidades

A NVIDIA não apresenta informações adicionais sobre as especificidades das vulnerabilidades além das que são fornecidas no Boletim de Segurança e na documentação relacionada, como notas de versão, artigos da base de conhecimento, perguntas frequentes etc. A NVIDIA não distribui o código da exploração/prova de conceito referente às vulnerabilidades identificadas.

De acordo com as práticas do setor, a NVIDIA não compartilha os resultados de testes de segurança interna nem outros tipos de atividades de segurança com entidades externas. É importante observar que as verificações externas dos sistemas de produção de segurança da NVIDIA serão consideradas ataques. Os parceiros OEM devem apresentar suas necessidades para o gerente de programas da NVIDIA.

Os Boletins de Segurança da NVIDIA são publicados na página Boletins de Segurança. Assine as notificações aqui.

Aviso de Segurança

A NVIDIA pode publicar um comunicado especial para responder de forma rápida e adequada a divulgações que indiquem que a vulnerabilidade recebeu muita atenção do público, esteja sujeita a explorações ou que de fato será explorada. Nesse caso, a NVIDIA pode agilizar o comunicado e pode ou não incluir um conjunto completo de patches ou soluções alternativas. Ele será identificado como um Aviso de Segurança e será publicado na página Boletins de Segurança.

Correção de Vulnerabilidades

A NVIDIA leva preocupações de segurança a sério e trabalha para avaliá-las e abordá-las em tempo hábil. O tempo de resposta depende de muitos fatores, como a gravidade, o produto afetado, o ciclo de desenvolvimento atual, os ciclos de garantia de qualidade e se o problema só pode ser atualizado em uma versão principal.

A correção pode ocorrer de uma ou mais das seguintes formas:

Uma nova versão
Uma atualização de segurança fornecida pela NVIDIA
Instruções para fazer download e instalar uma atualização ou patch de terceiros

Uma solução alternativa para mitigar a vulnerabilidade

Apesar disso, a NVIDIA não garante uma resolução específica para problemas, e nem todos os problemas identificados podem ser solucionados.

Direitos do Cliente: Garantias, Suporte e Manutenção

Os direitos dos clientes da NVIDIA em relação às garantias, ao suporte e à manutenção, inclusive de vulnerabilidades, referentes aos produtos de software da NVIDIA são regidos pelo acordo aplicável entre a NVIDIA e cada cliente.

As declarações nesta página Web não modificam nem ampliam os direitos dos clientes nem criam garantias adicionais. As informações apresentadas à NVIDIA sobre vulnerabilidades dos produtos da empresa, inclusive todas as informações de uma comunicação de vulnerabilidades de um produto, são exclusivas da NVIDIA.

Isenção de Responsabilidade

Todos os aspectos do processo e das políticas da PSIRT da NVIDIA estão sujeitos a alterações sem aviso prévio e de acordo com o caso. Não há nenhuma garantia de que será apresentada uma resposta para problemas ou tipos de problema específicos. O uso das informações presentes no documento ou nos materiais relacionados a ele é por sua conta e risco. A NVIDIA se reserva o direito de alterar ou atualizar este documento sem aviso prévio a qualquer momento.

TODAS AS INFORMAÇÕES, ESPECIFICAÇÕES DE DESIGN, PLACAS DE REFERÊNCIA, ARQUIVOS, DESENHOS, DIAGNÓSTICOS, LISTAS E OUTROS DOCUMENTOS (JUNTOS E SEPARADAMENTE, "MATERIAIS") DA NVIDIA SÃO APRESENTADOS "NO ESTADO EM QUE SE ENCONTRAM". A NVIDIA NÃO FAZ GARANTIAS EXPRESSAS, IMPLÍCITAS, ESTATUTÁRIAS OU DE OUTROS TIPOS EM RELAÇÃO AOS MATERIAIS, E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUSIVE GARANTIAS OU CONDIÇÕES IMPLÍCITAS DE TITULARIDADE, COMERCIABILIDADE, QUALIDADE SATISFATÓRIA, ADEQUAÇÃO A UMA FINALIDADE ESPECÍFICA E NÃO INFRAÇÃO, NÃO SE APLICAM NA MEDIDA MÁXIMA PERMITIDA POR LEI.

As informações são consideradas precisas e confiáveis no momento em que são apresentadas. Porém, a NVIDIA Corporation não assume nenhuma responsabilidade pelas consequências do uso de tais informações nem pela violação de patentes ou outros direitos de terceiros derivada do uso dos dados. Nenhuma licença é concedida por implicação ou outra relação sob as patentes ou os direitos de patente da NVIDIA Corporation. As especificações mencionadas nesta publicação estão sujeitas a alterações sem aviso prévio. Esta publicação substitui todas as informações apresentadas anteriormente. Os produtos da NVIDIA Corporation não são aprovados para uso como componentes essenciais de dispositivos ou sistemas médicos sem a autorização expressa por escrito da NVIDIA Corporation.

Produto Segurança