Nvidia PSIRT Policies

İçindekiler

NVIDIA PSIRT – Güvenlik Açığı Yönetimi
Potansiyel Güvenlik Açıklarını Bildirme
Güvenlik Açıklarının Koordineli İfşası
Güvenlik Bildirilerine ve Güncellemelerine Abone Olma
NVIDIA Güvenlik Açığı Bilgileriyle İlgili Medya ve Halkla İlişkiler Soruları
NVIDIA PSIRT Güvenlik Açığı Yönetim Süreci
Genel Güvenlik Açığı Puanlama Sistemi (CVSS) kullanarak Güvenlik Riskini Değerlendirme
Güvenlik Açığı Bildirim İlkesi
Güvenlik Bildirileri
Güvenlik Bildirimi
Güvenlik Açığı Düzeltme
NVIDIA PSIRT Participation
Müşteri Hakları: Garantiler, Destek ve Bakım
Sorumluluk Reddi

NVIDIA PSIRT – Güvenlik Açığı Yönetimi

NVIDIA Ürün Güvenlik Olayları Müdahale Ekibinin (PSIRT) amacı, zamanında bilgi, rehberlik ve ürünlerimizdeki güvenlik açıklarına yönelik düzeltmeler sağlayarak güvenlik açıklarıyla ilişkili olan müşteri riskini en aza indirmektir. NVIDIA PSIRT, NVIDIA ürünleriyle ilgili güvenlik açığı bilgilerinin girişini, araştırılmasını, şirket içi koordinasyonu, düzeltmeleri ve bunların ifşasını yöneten global bir ekiptir.

NVIDIA PSIRT'in temel sorumluluklarından biri, harici olarak tanımlanmış tüm NVIDIA ürünü güvenlik açıklarının yanıtlanmasını ve ifşa edilmesini koordine etmektir.

Potansiyel Güvenlik Açıklarını Bildirme

NVIDIA; bağımsız araştırmacılardan, güvenlik kuruluşlarından, satıcılardan, müşterilerden ve güvenlik sorunlarıyla ilgilenen diğer kaynaklardan gelen tüm raporları kabul eder.

Potansiyel güvenlik açığının nasıl bildirileceği hakkında daha fazla bilgi edinmek için Güvenlik Açığı Bildirme sayfasını ziyaret edin.

Güvenlik Açıklarının Koordineli İfşası

NVIDIA, Güvenlik Açıklarının Koordineli İfşası (CVD) uygulamalarını gerçekleştirmeye çalışır. CVD, ürünümüzde bir güvenlik açığını bulup bildiren bağımsız kişilerin NVIDIA'yla doğrudan iletişim kurabileceği ve bilgiler bildiren kişi tarafından kamuoyuna açıklanmadan önce güvenlik açığını araştırmamıza ve düzeltmemize fırsat tanıyan bir süreçtir.

NVIDIA PSIRT, güvenlik açığı araştırması sırasında bildirenle koordinasyon içinde çalışır ve ilerleme durumuna ilişkin güncellemeleri bildirene uygun bir şekilde sunar. Bildiren anlaşması ile NVIDIA PSIRT, geçerli bir ürün güvenlik açığı bulduğu ve sorunu özel olarak bildirdiği bildirene Teşekkür sayfamızda yer verebilir. Müşterilerin güvenliği sağlandıktan sonra bildiren güvenlik açığını herkese açık bir şekilde tartışabilir.

NVIDIA’nın CVD ilkelerini uygulamak, müşterilerimizin güvenliğini sağlarken aynı zamanda kamuoyuna ifşa sürecini koordine etmemize ve bildiren kişilere keşifleri için uygun bir şekilde teşekkür etmemize olanak tanır.

Bildirilen güvenlik açığı bir satıcı ürünüyle ilgiliyse NVIDIA PSIRT, satıcıya doğrudan bildirim gönderir, bildiren kişiyle koordinasyon sağlar veya üçüncü taraf koordinasyon merkeziyle çalışır.

Güvenlik Bildirilerine ve Güncellemelerine Abone Olma

Yayınlanan Güvenlik Bildirilerinin listesi, NVIDIA Güvenlik Bildirileri sayfasında bulunabilir.

Müşterilerin, ilk sürümlerden veya NVIDIA Güvenlik Bildirilerindeki başlıca değişikliklerden haberdar olmak için NVIDIA Güvenlik Bildirilerine yönelik bildirimlere abone olması önemle önerilir.

Bildirimlere buradan abone olabilirsiniz.

NVIDIA Güvenlik Bildirileri hakkında bilgi edinmek için, bu belgenin Güvenlik Bildirileri bölümüne göz atın.

NVIDIA Güvenlik Açığı Bilgileriyle İlgili Medya ve Halkla İlişkiler Soruları

Lütfen burada listelenen Kurumsal İletişim yetkili kişilerinden biriyle iletişim kurun.

NVIDIA PSIRT Güvenlik Açığı Yönetim Süreci

Aşağıdaki grafikte üst seviyedeki NVIDIA PSIRT süreci gösterilmektedir.

Şekil 1: NVIDIA Ürün Güvenlik Olayları Müdahale Ekibi Süreci

Genel Güvenlik Açığı Puanlama Sistemi'ni (CVSS) kullanarak Güvenlik Riskini Değerlendirme

NVIDIA, tanımlanmış güvenlik açıklarının önem derecesini değerlendirmek için Genel Güvenlik Açığı Puanlama Sistemi 3.0 sürümünü (CVSS v3.0) kullanmaktadır. CVSS, güvenlik açıklarının niteliklerini ve etkilerini bildirmek için genel bir puanlama yöntemi ve dili sunar. CVSS, bir güvenlik açığının ne kadar sorun ortaya çıkaracağını ölçmeye çalışır. CVSS modeli, birer ölçüm kümesinden oluşan Temel, Geçici veya Ortam hesaplamaları içeren üç farklı ölçüm veya puanlama yöntemi kullanır. Olay Müdahale ve Güvenlik Ekipleri Forumu (FIRST) tarafından korunan tam standardı şurada bulabilirsiniz: https://www.first.org/cvss.

NVIDIA, Önem Derecelerini aşağıdaki tabloda gösterilen şekilde tanımlamak için CVSS v3.0 Teknik Özellik Belgesi Sayısal Önem Derecesi Oran Ölçeği'ni (https://www.first.org/cvss/specification-document) takip eder:

Güvenlik Etkisi Oranı	CVSS Puanı
Kritik	9,0 – 10,0
Yüksek	7,0 – 8,9
Orta	4,0 – 6,9
Düşük	.1 – 3,9
Yok	0,0

Ek faktörler CVSS puanında uygun bir şekilde yakalanamıyorsa NVIDIA, bu ilkelerden ayrılma hakkını saklı tutar.

NVIDIA Güvenlik Bildirileri, uygulanabildiği yerlerde ve durumlarda CVSS v3.0 Temel Puanını ve potansiyel Geçici Puanı sağlar. NVIDIA’nın risk değerlendirmesi, yüklü sistemlerdeki farklı grupların ortalama riskini temel aldığından yerel yüklemenizin gerçek riskini temsil etmeyebilir.

NVIDIA, özel yapılandırmanızın riskini değerlendirmek için bir güvenlik veya BT uzmanına danışmanızı ve Ortam puanını ağ parametrelerinize göre hesaplamanızı önerir. NVIDIA, tüm müşterilerin genel riskini değerlendirmek için Temel Puanı ve ortamlarıyla ilgili olabilecek tüm Geçici ve/veya Ortam Puanlarını göz önünde bulundurmasını önerir. Bu genel puan, zamandaki bir noktayı temsil eder ve özel ortamınıza uygun hale getirilmiştir. Ortamınıza yönelik müdahalelerin önceliklerini belirlemek için, bir güvenlik veya BT uzmanının sorunla ilgili değerlendirmesini ve bu son puanı kullanmanız gerekir.

Güvenlik Açığı Bildirim İlkesi

NVIDIA, uygun Bildirim Planını belirlemek üzere üçüncü taraf olmayan yazılım güvenlik açıkları için şu ilkeleri kullanır:

Güvenlik Etkisi Oranı	CVSS Puanı	Bildirim Planı
Kritik	9,0–10,0	NVIDIA Güvenlik Bildirisi
Yüksek	7,0–8,9
Orta	4,0–6,9
Düşük	3,9 veya daha düşük	Ürün Sürüm Notu

NVIDIA ürününde kullanılan üçüncü taraf yazılım bileşeniyle ilgili bir güvenlik sorunu varsa NVIDIA bir Güvenlik Bildirisi yayınlayabilir. Üçüncü taraf yazılım bileşeni güvenlik açığı için bir Güvenlik Bildirisi yayınlandığında, NVIDIA genellikle bileşeni oluşturan tarafından sağlanan CVSS puanını kullanır. Bazı durumlarda NVIDIA, CVSS puanını NVIDIA ürününe olan etkisini yansıtacak şekilde düzeltebilir.

Ek faktörler CVSS puanında uygun bir şekilde yakalanamıyorsa NVIDIA, bu ilkelerden ayrılma hakkını saklı tutar.

Güvenlik Bildirileri

NVIDIA çoğunlukla, güvenlik açığı için tanımlanmış pratik bir geçici çözüm veya güvenlik güncellemesi varsa müşterilerine bildirim sağlamayı amaçlar. Bildirim, hedeflenmiş iletişim kanalları üzerinden veya bir Güvenlik Bildirisi ile sağlanır. Güvenlik Bildirisini göndermeden önce, NVIDIA PSIRT ilk olarak güvenlik açığı müdahale sürecini tamamlayıp güvenlik açığını gidermek için gerekli güncelleme veya geçici çözümün bulunduğuna ya da güvenlik açıklarını çözmek üzere sonraki kod iyileştirmelerinin kamuoyuna ifşa edilmesine karar verir.

Güvenlik Bildirilerindeki bilgiler, müşterilerin kendilerini korumalarına yeterli olacak, ancak kötü amaçlı kullanıcıların bu bilgileri kullanamaması için fazla ayrıntılı olmayacak şekilde doğru miktarda dengelenmeye çalışılır. NVIDIA Güvenlik Bildirileri, uygulanabildiği yerde genellikle şu bilgileri içerir:

Etkilenen ürünler ve sürümleri
Güvenlik açığına ait Genel Güvenlik Açığı Listesi (CVE) tanımlayıcısı (bkz. http://cve.mitre.org)
Güvenlik açığının ve kötüye kullanılması halinde oluşacak potansiyel etkisinin kısa açıklaması
Güvenlik açığına ait Genel Güvenlik Açığı Puanlama Sistemi (CVSS) önem derecesi (bkz. http://www.first.org/cvss/cvss-guide.html)
Güvenlik güncellemeleri, risklerin azaltılması veya müşteri tarafında gerekli diğer kod iyileştirme bilgileri
Tanımlanmış güvenlik açığını bildiren kişiyi kaynak gösterme ve Güvenlik Açıklarının Koordineli İfşası'nda NVIDIA ile birlikte çalıştığı için teşekkür

Güvenlik Bildirisi'nde ve ilgili belgelerde (sürüm notları, bilgi tabanı makaleleri, SSS vb.) sağlanır. NVIDIA, tanımlanmış güvenlik açıkları için kötüye kullanma/kavram kanıtı kodunu dağıtmaz. NVIDIA, sektördeki uygulamalar uyarınca iç güvenlik testinde elde edilen bulguları veya diğer türdeki güvenlik etkinliklerini harici kuruluşlarla paylaşmaz. NVIDIA’nın Güvenlik üretim sistemlerinin herhangi bir şekilde taranmasının bir saldırı olarak değerlendirildiğini unutmayın. Bir OEM iş ortağıysanız lütfen gereksinimlerinizi NVIDIA program yöneticisi ile düzenleyin.

NVIDIA Güvenlik Bildirileri, Güvenlik Bildirisi sayfasına gönderilir. Buradan bildirimler için abone olabilirsiniz.

Güvenlik Bildirimi

NVIDIA, güvenlik açığının kamuoyunun ilgisini büyük ölçüde çektiği, kötüye kullanma olasılığının bulunduğu veya zaten kötüye kullanılacağının beklendiği durumlarda kamuoyuna ifşalara hızlı ve uygun bir şekilde yanıt vermek için özel bir bildirim yayınlayabilir. Bu durumda NVIDIA, bildirimi hızlandırabilir ve tam yamaları veya geçici çözümleri ekleme ya da eklememe olasılığı bulunur. Bu, Güvenlik Bildirisi sayfasında Güvenlik Bildirimi olarak etiketlenir.

Güvenlik Açığı Düzeltmesi

NVIDIA, güvenlik sorunlarını ciddiyetle ele alır ve en kısa sürede değerlendirip çözmeye çalışır. Müdahale zaman çizelgeleri; önem derecesi, etkilenen ürün, mevcut geliştirme süreci, QA süreci ve sorunun yalnızca temel sürümde güncellenip güncellenemeyeceği gibi birçok faktöre bağlıdır.

Düzeltme bir veya daha fazla biçimde olabilir:

Yeni sürüm
NVIDIA tarafından sağlanan yama
Güncellemeyi veya yamayı üçüncü taraftan indirme ve yükleme talimatları

Güvenlik açığını hafifleten geçici çözüm

Yukarıdaki hükümlere bakılmaksızın, NVIDIA sorunlar için kesin bir çözüm garantisi vermez ve tanımlanan tüm sorunlar çözülemeyebilir.

Müşteri Hakları: Garantiler, Destek ve Bakım

NVIDIA müşterilerinin herhangi bir NVIDIA yazılım ürünündeki garanti, destek ve bakım (güvenlik açıkları dahil) açısından hakları, NVIDIA ve müşteri arasındaki geçerli anlaşma ile yönetilir.

Bu web sayfasındaki ifadeler, hiçbir müşteri hakkını değiştirip genişletmez ya da ek garanti oluşturmaz. Ürün güvenlik açığı raporu dahil olmak üzere NVIDIA ürünlerindeki güvenlik açıklarıyla ilgili olarak NVIDIA'ya sağlanan tüm bilgiler yalnızca NVIDIA'ya ait olur.

Sorumluluk Reddi

NVIDIA’nın PSIRT süreci ve ilkeleri her bakımdan bildirim yapılmadan ve duruma göre değiştirilebilir. Herhangi bir sorun veya sorun sınıfı için yanıt garantisi verilmez. Belgede bağlantısı olan belgeler veya malzemeler üzerindeki bilgilerin kullanım riski size aittir. NVIDIA, bu belgeyi herhangi bir tarihte bildirim yapmadan değiştirme veya güncelleme hakkını saklı tutar.

TÜM NVIDIA BİLGİLERİ, TASARIM ÖZELLİKLERİ, BAŞVURU PANOLARI, DOSYALAR, ÇİZİMLER, TANILAMALAR, LİSTELER VE DİĞER BELGELER (BİRLİKTE VE AYRI AYRI “MALZEMELER”) “OLDUĞU GİBİ” SAĞLANMAKTADIR. NVIDIA MALZEMELERLE İLGİLİ AÇIK, ZIMNİ, KANUNİ VEYA BAŞKA ŞEKİLDE HİÇBİR GARANTİ SUNMAMAKTADIR, SATILABİLİRLİK, KALİTE YETERLİLİĞİ, BELİRLİ BİR AMACA UYGUNLUK VE HAK İHLALİNDEN KAÇINMA RUHSATLARI İÇİN DOLAYLI GARANTİ YA DA ESER KOŞULU DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ OLARAK BELİRTİLEN TÜM KOŞULLAR, BEYANLAR VE GARANTİLER YASALARIN İZİN VERDİĞİ ÖLÇÜDE DIŞARIDA TUTULUR.

Bilgilerin verildiği tarihte doğru ve güvenilir olduğu kabul edilir. Ancak NVIDIA Corporation bu bilgilerin kullanımından doğan sonuçlardan veya üçüncü tarafların kullanımından kaynaklanan herhangi bir patent ya da hak ihlalinden hiçbir şekilde sorumlu değildir. NVIDIA Corporation patenti veya patent hakları kapsamında dolaylı ya da başka bir şekilde lisans verilmez. Bu yayında bahsedilen özellikler bildirim yapılmadan değiştirilebilir. Bu yayın, daha önce sağlanan tüm bilgileri hükümsüz kılar ve bu bilgilerin yerine geçer. NVIDIA Corporation ürünleri, NVIDIA Corporation'ın açık yazılı onayı olmadığı sürece yaşam destek cihazlarında veya sistemlerinde kritik bileşen olarak kullanılamaz.

ÜRÜN GÜVENLİĞİ