NVIDIA, güvenlik sorunlarını ciddiyetle ele alır ve hızla değerlendirip çözmeye çalışır. Bir güvenlik sorunu bildirildiğinde NVIDIA, sorunu çözmek üzere analiz etmek, düzeltici eylemleri doğrulamak ve sunmak için uygun kaynakları kullanır.
NVIDIA PSIRT – Güvenlik Açığı Yönetimi Potansiyel Güvenlik Açıklarını Bildirme Güvenlik Açıklarının Koordineli İfşası NVIDIA Güvenlik Bildirimleri Güvenlik Bildirilerine ve Güncellemelerine Abone Olma NVIDIA Güvenlik Açığı Bilgileriyle İlgili Medya ve Halkla İlişkiler Soruları NVIDIA PSIRT Güvenlik Açığı Yönetim Süreci Genel Güvenlik Açığı Puanlama Sistemi'ni (CVSS) kullanarak Güvenlik Riskini Değerlendirme Güvenlik Açığı Bildirim İlkesi Güvenlik Bildirileri Güvenlik Bildirimi Güvenlik Açığı Düzeltmesi NVIDIA PSIRT’ye Katılım Müşteri Hakları: Garantiler, Destek ve Bakım Sorumluluk Reddi
NVIDIA Ürün Güvenlik Olayları Müdahale Ekibi’nin (PSIRT) amacı, zamanında bilgi, rehberlik ve ürünlerimizdeki güvenlik açıklarına yönelik düzeltmeler sağlayarak güvenlik açıklarıyla ilişkili olan müşteri riskini en aza indirmektir. NVIDIA PSIRT, NVIDIA ürünleriyle ilgili güvenlik açığı bilgilerinin girişini, araştırılmasını, şirket içi koordinasyonu, düzeltmeleri ve bunların ifşasını yöneten global bir ekiptir.
NVIDIA PSIRT'in temel sorumluluklarından biri, harici olarak tanımlanmış tüm NVIDIA ürünü güvenlik açıklarının yanıtlanmasını ve ifşa edilmesini koordine etmektir.
NVIDIA; bağımsız araştırmacılardan, güvenlik kuruluşlarından, satıcılardan, müşterilerden ve güvenlik sorunlarıyla ilgilenen diğer kaynaklardan gelen tüm raporları kabul eder.
Potansiyel güvenlik açığının nasıl bildirileceği hakkında daha fazla bilgi edinmek için Güvenlik Açığı Bildirme sayfasını ziyaret edin.
NVIDIA, Güvenlik Açıklarının Koordineli İfşası (CVD) uygulamalarını gerçekleştirmeye çalışır. CVD, ürünümüzde bir güvenlik açığını bulup bildiren bağımsız kişilerin NVIDIA'yla doğrudan iletişim kurabileceği ve bilgiler bildiren kişi tarafından kamuoyuna açıklanmadan önce güvenlik açığını araştırmamıza ve düzeltmemize fırsat tanıyan bir süreçtir.
NVIDIA PSIRT, güvenlik açığı araştırması sırasında bildirenle koordinasyon içinde çalışır ve ilerleme durumuna ilişkin güncellemeleri bildirene uygun bir şekilde sunar. Bildiren tarafın kabul etmesi durumunda NVIDIA PSIRT, geçerli bir ürün güvenlik açığı bulduğu ve sorunu özel olarak bildirdiği için kendisine Sorun Bildirimleri sayfamızda yer verebilir. Bir güncelleme veya önlem NVIDIA tarafından halka açık olarak yayınlandıktan sonra bildiren taraf açık ile ilgili konuşmakta özgürdür.
NVIDIA’nın CVD ilkelerini uygulamak, müşterilerimizin güvenliğini sağlarken aynı zamanda kamuoyuna ifşa sürecini koordine etmemize ve bildiren kişilere keşifleri için uygun bir şekilde teşekkür etmemize olanak tanır.
Bildirilen güvenlik açığı bir satıcı ürünüyle ilgiliyse NVIDIA PSIRT, satıcıya doğrudan bildirim gönderir, bildiren kişiyle koordinasyon sağlar veya üçüncü taraf koordinasyon merkeziyle çalışır.
NVIDIA şu anda bir hata bulma ödüllendirme programına sahip olmamakla birlikte, harici olarak bildirilen bir güvenlik sorunu koordine güvenlik açığı bildirme ilkemiz kapsamında giderildiğinde sorunu bildirenleri yayınlıyor.
Yayınlanan Güvenlik Bildirilerinin listesi, NVIDIA Güvenlik Bildirileri sayfasında bulunabilir.
Müşterilerin, ilk sürümlerden veya NVIDIA Güvenlik Bildirilerindeki başlıca değişikliklerden haberdar olmak için NVIDIA Güvenlik Bildirilerine yönelik bildirimlere abone olması önemle önerilir.
Bildirimlere buradan abone olabilirsiniz.
NVIDIA Güvenlik Bildirileri hakkında bilgi edinmek için, bu belgenin Güvenlik Bildirileri bölümüne göz atın.
Lütfen burada listelenen Kurumsal İletişim yetkili kişilerinden biriyle iletişim kurun.
Aşağıdaki grafikte üst seviyedeki NVIDIA PSIRT süreci gösterilmektedir.
Şekil 1: NVIDIA Ürün Güvenlik Olayları Müdahale Ekibi Süreci
NVIDIA, tanımlanmış güvenlik açıklarının önem derecesini değerlendirmek için Genel Güvenlik Açığı Puanlama Sistemi 3.1 sürümünü (CVSS v3.1) kullanmaktadır. CVSS, güvenlik açıklarının niteliklerini ve etkilerini bildirmek için genel bir puanlama yöntemi ve dili sunar. CVSS, bir güvenlik açığının ne kadar sorun ortaya çıkaracağını ölçmeye çalışır. CVSS modeli, birer ölçüm kümesinden oluşan Temel, Geçici veya Ortam hesaplamaları içeren üç farklı ölçüm veya puanlama yöntemi kullanır. Olay Müdahale ve Güvenlik Ekipleri Forumu (FIRST) tarafından korunan tam standardı şurada bulabilirsiniz: https://www.first.org/cvss.
NVIDIA, Önem Derecelerini aşağıdaki tabloda gösterilen şekilde tanımlamak için CVSS v3.1 Teknik Özellik Belgesi Sayısal Önem Derecesi Oran Ölçeği'ni (https://www.first.org/cvss/specification-document) takip eder:
Ek faktörler CVSS puanında uygun bir şekilde yakalanamıyorsa NVIDIA, bu ilkelerden ayrılma hakkını saklı tutar.
NVIDIA Güvenlik Bildirileri, uygulanabildiği yerlerde ve durumlarda CVSS v3.1 Temel Puanını sağlar. NVIDIA yalnızca Temel ölçüm grubuna odaklanır, çünkü bir güvenlik açığının iç özelliklerini temsil eden bu grup, müşterilerimize en fazla değeri sağlayacaktır. NVIDIA’nın risk değerlendirmesi, yüklü sistemlerdeki farklı grupların ortalama riskini temel aldığından yerel yüklemenizin gerçek riskini temsil etmeyebilir.
NVIDIA, özel yapılandırmanızın riskini değerlendirmek için bir güvenlik veya BT uzmanına danışmanızı ve Ortam puanını ağ parametrelerinize göre hesaplamanızı önerir. NVIDIA, tüm müşterilerin genel riskini değerlendirmek için Temel Puanı ve ortamlarıyla ilgili olabilecek tüm Geçici ve/veya Ortam Puanlarını göz önünde bulundurmasını önerir. Bu genel puan, zamandaki bir noktayı temsil eder ve özel ortamınıza uygun hale getirilmiştir. Ortamınıza yönelik müdahalelerin önceliklerini belirlemek için, bir güvenlik veya BT uzmanının sorunla ilgili değerlendirmesini ve bu son puanı kullanmanız gerekir.
NVIDIA, uygun Bildirim Planını belirlemek üzere üçüncü taraf olmayan yazılım güvenlik açıkları için şu ilkeleri kullanır:
NVIDIA ürününde kullanılan üçüncü taraf yazılım bileşeniyle ilgili bir güvenlik sorunu varsa NVIDIA bir Güvenlik Bildirisi yayınlayabilir. Üçüncü taraf yazılım bileşeni güvenlik açığı için bir Güvenlik Bildirisi yayınlandığında, NVIDIA genellikle bileşeni oluşturan tarafından sağlanan CVSS puanını kullanır. Bazı durumlarda NVIDIA, CVSS puanını NVIDIA ürününe olan etkisini yansıtacak şekilde düzeltebilir.
NVIDIA çoğunlukla, güvenlik açığı için tanımlanmış pratik bir geçici çözüm veya güvenlik güncellemesi varsa müşterilerine bildirim sağlamayı amaçlar. Bildirim, hedeflenmiş iletişim kanalları üzerinden veya bir Güvenlik Bildirisi ile sağlanır. Güvenlik Bildirisini göndermeden önce, NVIDIA PSIRT ilk olarak güvenlik açığı müdahale sürecini tamamlayıp güvenlik açığını gidermek için gerekli güncelleme veya geçici çözümün bulunduğuna ya da güvenlik açıklarını çözmek üzere sonraki kod iyileştirmelerinin kamuoyuna ifşa edilmesine karar verir.
Güvenlik Bildirilerindeki bilgiler, müşterilerin kendilerini korumalarına yeterli olacak, ancak kötü amaçlı kullanıcıların bu bilgileri kullanamaması için fazla ayrıntılı olmayacak şekilde doğru miktarda dengelenmeye çalışılır. NVIDIA Güvenlik Bildirileri, uygulanabildiği yerde genellikle şu bilgileri içerir:
NVIDIA, ilgili Güvenlik Bildirisi'nde verilenler ile sürüm notları, bilgi tabanı makaleleri ve SSS gibi ilgili belgelerin dışında güvenlik açığı özellikleriyle ilgili ek bilgi sunmaz. NVIDIA, tanımlanmış güvenlik açıkları için kötüye kullanma/kavram kanıtı kodunu dağıtmaz.
NVIDIA, sektördeki uygulamalar uyarınca iç güvenlik testinde elde edilen bulguları veya diğer türdeki güvenlik etkinliklerini harici kuruluşlarla paylaşmaz. NVIDIA’nın Güvenlik üretim sistemlerinin herhangi bir şekilde taranmasının bir saldırı olarak değerlendirildiğini unutmayın. Bir OEM iş ortağıysanız lütfen gereksinimlerinizi NVIDIA program yöneticisi ile düzenleyin.
NVIDIA Güvenlik Bildirileri, Güvenlik Bildirisi sayfasında paylaşılır. Bildirimlere buradan abone olabilirsiniz.
Güvenlik Bildirimi
NVIDIA, güvenlik açığının kamuoyunun ilgisini büyük ölçüde çektiği, kötüye kullanma olasılığının bulunduğu veya zaten kötüye kullanılacağının beklendiği durumlarda kamuoyuna ifşalara hızlı ve uygun bir şekilde yanıt vermek için özel bir bildirim yayınlayabilir. Bu durumda NVIDIA, bildirimi hızlandırabilir ve tam yamaları veya geçici çözümleri ekleme ya da eklememe olasılığı bulunur. Bu, Güvenlik Bildirimi olarak etiketlenecek ve Güvenlik Bildirisi sayfasında yayınlanacaktır.
NVIDIA, güvenlik sorunlarını ciddiyetle ele alır ve en kısa sürede değerlendirip çözmeye çalışır. Müdahale zaman çizelgeleri; önem derecesi, etkilenen ürün, mevcut geliştirme süreci, kalite kontrol süreci ve sorunun yalnızca temel sürümde güncellenip güncellenemeyeceği gibi birçok faktöre bağlıdır.
Düzeltme bir veya daha fazla biçimde olabilir:
Yukarıdaki hükümlere bakılmaksızın, NVIDIA sorunlar için kesin bir çözüm garantisi vermez ve tanımlanan tüm sorunlar çözülemeyebilir.
Gururlu Üye:
NVIDIA, bir CVE Numaralandırma Yetkilisidir.
NVIDIA müşterilerinin herhangi bir NVIDIA yazılım ürünündeki garanti, destek ve bakım (güvenlik açıkları dahil) açısından hakları, NVIDIA ve müşteri arasındaki geçerli anlaşma ile yönetilir.
Bu web sayfasındaki ifadeler, hiçbir müşteri hakkını değiştirip genişletmez ya da ek garanti oluşturmaz. Ürün güvenlik açığı raporu dahil olmak üzere NVIDIA ürünlerindeki güvenlik açıklarıyla ilgili olarak NVIDIA'ya sağlanan tüm bilgiler yalnızca NVIDIA'ya ait olur.
NVIDIA’nın PSIRT süreci ve ilkeleri her bakımdan bildirim yapılmadan ve duruma göre değiştirilebilir. Herhangi bir sorun veya sorun sınıfı için yanıt garantisi verilmez. Belgede bağlantısı olan belgeler veya malzemeler üzerindeki bilgilerin kullanım riski size aittir. NVIDIA, bu belgeyi herhangi bir tarihte bildirim yapmadan değiştirme veya güncelleme hakkını saklı tutar.
TÜM NVIDIA BİLGİLERİ, TASARIM ÖZELLİKLERİ, BAŞVURU PANOLARI, DOSYALAR, ÇİZİMLER, TANILAMALAR, LİSTELER VE DİĞER BELGELER (BİRLİKTE VE AYRI AYRI “MALZEMELER”) “OLDUĞU GİBİ” SAĞLANMAKTADIR. NVIDIA MALZEMELERLE İLGİLİ AÇIK, ZIMNİ, KANUNİ VEYA BAŞKA ŞEKİLDE HİÇBİR GARANTİ SUNMAMAKTADIR, SATILABİLİRLİK, KALİTE YETERLİLİĞİ, BELİRLİ BİR AMACA UYGUNLUK VE HAK İHLALİNDEN KAÇINMA RUHSATLARI İÇİN DOLAYLI GARANTİ YA DA ESER KOŞULU DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ OLARAK BELİRTİLEN TÜM KOŞULLAR, BEYANLAR VE GARANTİLER YASALARIN İZİN VERDİĞİ ÖLÇÜDE DIŞARIDA TUTULUR.
Bilgilerin verildiği tarihte doğru ve güvenilir olduğu kabul edilir. Ancak NVIDIA Corporation bu bilgilerin kullanımından doğan sonuçlardan veya üçüncü tarafların kullanımından kaynaklanan herhangi bir patent ya da hak ihlalinden hiçbir şekilde sorumlu değildir. NVIDIA Corporation patenti veya patent hakları kapsamında dolaylı ya da başka bir şekilde lisans verilmez. Bu yayında bahsedilen özellikler bildirim yapılmadan değiştirilebilir. Bu yayın, daha önce sağlanan tüm bilgileri hükümsüz kılar ve bu bilgilerin yerine geçer. NVIDIA Corporation ürünleri, NVIDIA Corporation'ın açık yazılı onayı olmadığı sürece yaşam destek cihazlarında veya sistemlerinde kritik bileşen olarak kullanılamaz.