Безопасность
продуктов

Компания NVIDIA серьезно относится к проблемам безопасности и работает над их быстрой оценкой и решением. При сообщениях о проблемах безопасности NVIDIA обращается к соответствующим ресурсам для анализа, подтверждения и проведения мер по устранению выявленной проблемы.

NVIDIA PSIRT – Программа по управлению уязвимостями

Задача группы реагирования на инциденты безопасности продуктов NVIDIA (PSIRT) заключается в том, чтобы минимизировать риск пользователей, связанный с уязвимостями системы безопасности, путем предоставления своевременной информации о наличии уязвимостей в наших продуктах и инструкций по их устранению. NVIDIA PSIRT - это международная команда, которая контролирует получение, расследование, внутреннюю координацию, устранение и раскрытие информации об уязвимостях безопасности, связанных с продуктами NVIDIA.


Одной из ключевых обязанностей PSIRT является координация реагирования и раскрытия информации об уязвимостях продуктов NVIDIA, выявленных сторонними источниками.

Собщение о потенциальной уязвимости безопасности

NVIDIA приветствует отчеты о безопасности своих продуктов от независимых разработчиков, отраслевых организаций, поставщиков, пользователей и других лиц.

Чтобы узнать, как сообщить о потенциальной уязвимости безопасности, зайдите в раздел «Сообщить о уязвимости».

Подписка на бюллетени по безопасности и обновления

Список опубликованных бюллетенй по безопасности можно найти на странице  Бюллетени по безопасности NVIDIA.

Пользователям настоятельно рекомендуется подписаться на уведомления о выпуске бюллетеней по безопасности, чтобы быть в курсе обнаруженных уязвимостях и вносимых изменений.

Подписаться на уведомления можно здесь.

Подробнее о бюллетенях по безопасности NVIDIA смотрите в разделе настоящего документа  Бюллетени по безопасности.

Скоординированное раскрытие уязвимости

NVIDIA стремится придерживаться политики скоординированного раскрытия информации о уязвимостях (CVD). Скоординированное раскрытие уязвимости (CVD) – это процесс, во время которого независимый составитель отчета, обнаруживший уязвимость нашего продукта, связывается напрямую с NVIDIA, чтобы компания имела возможность провести расследование и устранить уязвимость до того, как информация об уязвимости будет раскрыта публично.

NVIDIA PSIRT координирует с составителем отчета во время расследования уязвимости и должным образом уведомляет о прогрессе. С согласия составителя отчета NVIDIA PSIRT может указать его имя в соотвествующем разделе с благодарностью за обнаружение  уязвимости безопасности продукта и сообщение о проблеме в закрытом порядке. После того как NVIDIA опубликовала информацию об обновлении или мерах по устранению негативного влияния уязвимости, сообщивший может открыто обсуждать уязвимость.

Соблюдение политики CVD позволяет NVIDIA защищать пользователей, координировать раскрытие уязвимостей и выражать признательность составителю(-ям) отчета.

Если обнаруженная уязвимость связана с продуктом поставщика, NVIDIA PSIRT уведомит поставщика напрямую, будет координировать работу с составителем отчета или привлечет сторонний координационный центр.

Медиа- или PR-запросы относительно информации о уязвимостях безопасности продуктов NVIDIA

Пожалуйста, свяжитесь с одним из указанных в списке специалистов отдела корпоративной коммуникации.

Процесс управления уязвимостью с NVIDIA PSIRT

На следующем рисунке показан процесс функционирования NVIDIA PSIRT.

Рисунок 1. Процесс работы группы реагирования на инциденты безопасности продуктов NVIDIA

policies-image-400

Оценка рисков безопасности при помощи общей системы подсчета уязвимостей (CVSS)

В настоящее время NVIDIA использует общую систему оценки уязвимостей версии 3.0 (CVSS v3.0) для оценки уровня серьезности выявленных уязвимостей. CVSS позволяет использовать общий метод оценки и универсальный язык для описания характеристик и влияния уязвимостей. CVSS пытается закрепить систему измерений того, насколько опасной является уязвимость. Модель CVSS использует три метрики: базовые, временные и контекстные. Каждая из них состоит из набора метрик. Полную нормативную документация, которая поддерживается Форумом групп реагирования на инциденты безопасности (FIRST), можно найти по адресу: https://www.first.org/cvss .

NVIDIA использует Рейтинговую шкалу для определения уровня опасности уязвимости CVSS v3.0 (https://www.first.org/cvss/specification-document):

Уровень воздействия на безопасность Оценка по CVSS
Критический 9.0 – 10.0
Высокий 7.0 – 8.9
Средний 4.0 – 6.9
Низкий .1 – 3.9
Нулевой 0.0

NVIDIA оставляет за собой право отклониться от этих рекомендаций в конкретных случаях, если в балльной шкале CVSS должным образом не зафиксированы дополнительные коэффициенты.

В случаях, когда это представляется целесообразным, бюллетени по безопасности NVIDIA предоставляют базовую оценку CVSS v3.0 и, возможно, временную оценку. Оценка рисков NVIDIA основана на среднем показателе риска в различных установленных системах и может не представлять истинного риска для вашей конкретной установки.

NVIDIA рекомендует обратиться к специалисту по безопасности или ИТ-специалисту для оценки риска для вашей конкретной конфигурации и советует вычислять контекстную оценку опасности на основе параметров вашей сети. Для оценки общего риска NVIDIA рекомендует пользователям учитывать базовую, временную и/или контекстную оценки, применимые к их установке. Этот общий балл представляет собой оценку уровня опасности в настоящий момент и привязан к вашей конкретной среде. Для определения окончательной оценки уровня опасности и мер реагирования на уязвимость в своем окружении воспользуйтесь услугами специалиста по безопасности или ИТ-специалиста.

Политика информирования о уязвимостях

NVIDIA использует следующие рекомендации для определения методов информирования при обнаружении уязвимостей стороннего программного обеспечения:

Уровень воздействия на безопасность Оценка по CVSS Метод информирования
Критический 9.0–10.0 Бюллетень по безопасности NVIDIA
Высокий 7.0–8.9
Средний 4.0–6.9
Низкий 3.9 или ниже Примечание к выпуску

Если возникает проблема безопасности со сторонним программным компонентом, который используется в продукте NVIDIA, NVIDIA может опубликовать бюллетень по безопасности. В случае публикации бюллетени по безопасности для уязвимости стороннего программного компонента NVIDIA обычно использует оценку по шкале CVSS, предоставляемую разработчиком компонента. В некоторых случаях NVIDIA может корректировать показатель CVSS, чтобы отразить воздействие на продукт NVIDIA.

NVIDIA оставляет за собой право отклониться от этих рекомендаций в конкретных случаях, если в балльной шкале CVSS должным образом не зафиксированы дополнительные коэффициенты.

Бюллетени по безопасности

В большинстве случаев NVIDIA уведомляет пользователей, когда существует определенное практическое решение или устранение уязвимости безопасности. Уведомление осуществляется посредством целенаправленного информационного сообщения или путем размещения бюллетеня по безопасности. Бюллетень по безопасности публикуется после того, как NVIDIA PSIRT завершит процесс реагирования на уязвимость и определит, что для ее устранения существуют достаточные программные инструменты или обходные пути или в последующем для устранения уязвимости планируется публичное раскрытие исправлений кода.

Бюллетени по безопасности стремятся сбалансировать объем информации, предоставляя достаточно данных, чтобы пользователи могли защитить себя, но не подробные данные, позволяющие злоумышленникам использовать информацию. Бюллетени по безопасности NVIDIA обычно содержат следующую иформацию:

  1. Указание продуктов и версий, которые подвержены уязвимости
  2. Идентификатор CVE для уязвимости (см. http://cve.mitre.org)
  3. Краткое описание уязвимости и потенциальное воздействие ее использования
  4. Оценку уровня опасности уязвимости согласно общей системе подсчета уязвимостей (CVSS) (см. http://www.first.org/cvss/cvss-guide.html)
  5. Информация об устранении уязвимости, например, об обновлениях безопасности, миграции или других действиях, которая запрошена пользователем
  6. Указание составителя отчета о выявленной уязвимости и благодарность за сотрудничество с NVIDIA в рамках политики Скординированного раскрытия уязвимости

NVIDIA не будет предоставлять дополнительную информацию об особенностях уязвимостей помимо того, что предусмотрено в бюллетене по безопасности и соответствующей документации, такой как заметки о выпуске, статьи базы знаний, часто задаваемые вопросы и т.д. NVIDIA не распространяет коды эксплойта для выявленных уязвимостей.

В соответствии с отраслевыми стандартами NVIDIA не делится результатами внутренних проверок безопасности или других видов деятельности по обеспечению безопасности с внешними организациями. Важно отметить, что любое сканирование систем безопасности NVIDIA будет считаться атакой. Если вы являетесь OEM-партнером, пожалуйста, сообщите о cвоих потребностях программному менеджеру NVIDIA.


Бюллетени по безопасности NVIDIA публикуются на странице Бюллетеней по безопасности.  Подписаться на уведомления можно здесь.

 

Предупреждение системы безопасности

NVIDIA может опубликовать специальное сообщение для быстрого и надлежащего реагирования на публичное раскрытие информации, в котором уязвимость, возможно, привлекла значительное общественное внимание и, вероятно, будет иметь содержать доступные эксплойты или, как ожидается, будет активно использоваться. В таком случае NVIDIA может ускорить публикацию сообщения и может включать или не включать в него полный набор исправлений или обходных решений.  Подобное сообщение будет помечено как Предупреждение системы безопасности и опубликовано на странице Бюллетеней по безопасности.

Устранение уязвимости

Компания NVIDIA серьезно относится к проблемам безопасности и работает над их быстрой оценкой и решением. Время реагирования будет зависеть от многих факторов: уровня опасности выявленной уязвимости, подверженных продуктов, текущего цикла разработки и того факта, если уязвимость может быть исправлена только обновлением основного выпуска программного обеспечения. 

Устранение может принимать одну или несколько следующих форм:

  1. Новый выпуск
  2. Предоставленный NVIDIA патч
  3. Инструкции по загрузке и установке обновления или патча от сторонннего поставщика
  4. Обходной путь для устранения уязвимости

Несмотря на вышесказанное, NVIDIA не гарантирует конкретных решений для всех ошибок и устранение всех направленных ошибок.

NVIDIA PSIRT Participation

Proud Member of

NVIDIA is a CVE Numbering Authority.

Ограничение ответственности

Все положения политики NVIDIA PSIRT могут быть изменены без предварительного уведомления и в каждом отдельном случае. Ответ для решения какой-либо конкретной проблемы или класса проблем не гарантируется. Вы используете информацию из настоящего документа или материалов, найденных по ссылке в настоящем документе, на свой страх и риск. NVIDIA сохраняет за собой право изменять или обновлять настоящий документ в любое время без предварительного уведомления.

ВСЯ ИНФОРМАЦИЯ NVIDIA, СПЕЦИФИКАЦИИ, РЕФЕРЕНСНЫЕ ПЛАТЫ, ФАЙЛЫ, ЧЕРТЕЖИ, ДИАГНОСТИЧЕСКИЕ ДАННЫЕ, СПИСКИ И ДРУГАЯ ДОКУМЕНТАЦИЯ (В СОВОКУПНОСТИ И ПО ОТДЕЛЬНОСТИ «МАТЕРИАЛЫ») ПРЕДОСТАВЛЯЮТСЯ НА УСЛОВИИ «КАК ЕСТЬ». NVIDIA ОТКАЗЫВАЕТСЯ ОТ ЛЮБЫХ ПРЯМЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ НА МАТЕРИАЛЫ. В МАКСИМАЛЬНОЙ ДОПУСТИМОЙ ДЕЙСТВУЮЩИМ ЗАКОНОДАТЕЛЬСТВОМ СТЕПЕНИ ИСКЛЮЧАЮТСЯ ВСЕ ПРЯМЫЕ ИЛИ ПОДРАЗУМЕВАЕМЫЕ УСЛОВИЯ, ЗАЯВЛЕНИЯ И ГАРАНТИИ, ВКЛЮЧАЯ ЛЮБЫЕ ПОДРАЗУЕМВАЕМЫЕ ГАРАНТИИ ЗАКОННОСТИ ПРАВА СОБСТВЕННОСТИ, ТОВАРНОЙ ПРИГОДНОСТИ, УДОВЛЕТВОРИТЕЛЬНОГО КАЧЕСТВА, ПРИГОДНОСТИ ДЛЯ ИСПОЛЬЗОВАНИЯ ПО НАЗНАЧЕНИЮ И НЕНАРУШЕНИЯ ПРАВ ТРЕТЬИХ ЛИЦ.

Считается, что предоставляемая информация точна и достоверна на момент публикации. NVIDIA не несет никакой ответственности за последствия использования подобной информации или любые нарушения патента или других прав сторонних лиц в результате использования этой информации. Не предоставляются никакие подразумеваемые или иные патентные права, принадлежащие корпорации NVIDIA. В содержание упомянутых материалов могут быть внесены изменения без предварительного уведомления. Настоящая публикация отменяет и полностью заменяет информацию, представленную ранее. Продукты NVIDIA не предназначены для использования в качестве основных элементов систем жизнеобеспечения без предварительного письменного разрешения компании NVIDIA.