NVIDIA 重視各種安全考量,而且會設法迅速評估以力求解決產品安全問題。每當使用者回報安全考量時,NVIDIA 都會交由適當的資源進行分析、驗證並提供修正措施,以解決問題。
產品
安全性
產品
協調漏洞揭露
NVIDIA 致力遵循協調漏洞揭露 (Coordinated Vulnerability Disclosure,CVD)。CVD 程序可供在我們產品中發現漏洞的獨立回報者,在公開揭露資訊之前直接聯絡 NVIDIA,讓我們有機會調查及補救漏洞。
NVIDIA PSIRT 將在漏洞調查期間全程與回報者合作,並且會適時提供回報者有關進度的更新資訊。在取得回報者的同意之下,NVIDIA PSIRT 會將回報者列於我們的「致謝」頁面,表揚他們找到確切產品漏洞及私下回報問題的行為。當 NVIDIA 公布更新或緩解的資訊後,歡迎回報者公開討論該漏洞。
遵循 NVIDIA 的 CVD 不僅能讓我們保護客戶,同時還能協調公開揭露事宜,以及適切地表揚發現漏洞的回報者。
NVIDIA 有時候會發現其他廠商產品的安全性漏洞。若發生這種情況,NVIDIA 將遵循標準協調漏洞揭露程序,將已發現的問題告知 受影響的廠商或協力廠商協調中心。
有關 NVIDIA 安全性漏洞資訊的媒體或公關諮詢
請聯絡此處列出的任一位企業通訊聯絡人。
使用通用漏洞評分系統 (CVSS) 評估安全風險
NVIDIA 目前使用通用漏洞評分系統 3.1 版 (CVSS v3.1) 來評估已發現漏洞的嚴重性等級。CVSS 讓我們能透過通用的評分方法和語言傳達漏洞的特性和影響。CVSS 試圖建立一套度量基準,讓我們據以衡量漏洞帶來的安全疑慮。CVSS 模式使用基本、時間和環境等三種不同的度量或評分計算,每種計算都含有一組計量方式。完整的標準由「事件回應和安全團隊論壇」(Forum of Incident Response and Security Teams,FIRST) 負責維護。如需相關資訊,請造訪 https://www.first.org/cvss。
NVIDIA 依照 CVSS v3.1 規格文件「性質嚴重性量表」(Qualitative Severity Rating Scale,https://www.first.org/cvss/specification-document) 來定義嚴重性評等,如下表所示:
| 嚴重性影響評等 | CVSS 評分 |
| 嚴重 | 9.0 – 10.0 |
| 高 | 7.0 – 8.9 |
| 中 | 4.0 – 6.9 |
| 低 | 0.1 – 3.9 |
| 無 | 0.0 |
倘若 CVSS 評分有其他未妥善考量到的因素,NVIDIA 保留不遵從這些指引的權利。
NVIDIA 安全性布告欄將盡可能提供 CVSS v3.1 基本評分。NVIDIA 只關注基本指標組,因為此指標組會為我們的客戶帶來最大的價值,並且能代表漏洞的內在特徵。NVIDIA 的風險評估乃基於多種安裝系統的平均風險,不一定能真實呈現您本機安裝的風險。
NVIDIA 建議您諮詢安全或 IT 專業人員來評估特定設定的風險,並鼓勵您根據網路參數計算環境評分。NVIDIA 建議所有客戶將基本評分及任何與環境相關的時間和/或環境評分納入考量,藉此評估整體風險。這裡的整體評分代表針對您的特定環境,與特定時間點上的風險評分。您應使用安全或 IT 專業人員的問題評估和此處的最終評分,以針對您的環境排列回應的優先順序。
漏洞通訊政策
NVIDIA 使用以下指引來評估非第三方軟體漏洞,進而決定合適的通訊方案:
| 嚴重性影響評等 | CVSS 評分 | 通訊方案 |
| 嚴重 | 9.0–10.0 | NVIDIA 安全性布告欄 |
| 高 | 7.0-8.9 | |
| 中 | 4.0-6.9 | |
| 低 | 3.9 或以下 |
如果 NVIDIA 產品使用的第三方軟體元件出現安全性問題,NVIDIA 會發佈安全性布告欄。如果 NVIDIA 發佈有關第三方軟體元件漏洞的安全性布告欄,通常會使用元件製造商提供的 CVSS 評分。在某些情況下,NVIDIA 會調整 CVSS 評分來反應漏洞對 NVIDIA 產品的影響。
安全性布告欄
在大多數的情況下,當解決某安全性漏洞的因應措施或安全性更新證實可行時,NVIDIA 通常會通知客戶。通知方法不外乎是直接聯絡受影響客戶,或是張貼安全性布告欄。在張貼安全性布告欄前,NVIDIA PSIRT 會先完成漏洞回應程序,並且判斷目前是否有足以解決漏洞的軟體更新或因應措施,或是計劃日後公開揭露補救措施解決漏洞之後,才會張貼安全性布告欄。
安全性布告欄的目的在於提供平衡的資訊數量,讓客戶能取得足夠的詳細資訊保護自己,而非揭示鉅細靡遺的細節讓心懷不軌的使用者濫用資訊。如果可行的話,NVIDIA 安全性布告欄通常包含以下資訊:
- 受影響的產品和版本
- 漏洞的通用漏洞列舉 (Common Vulnerability Enumeration,CVE) 識別碼 (請參閱 https://cve.mitre.org (英文))
- 漏洞的簡短描述和受到攻擊時的可能影響
- 漏洞的通用漏洞評分系統 (CVSS) 嚴重性評等 (請參閱 https://www.first.org/cvss/user-guide.html (英文))
- 補救措施的詳細資料,如安全性更新、緩和措施或其他客戶需要的行動。
- 表揚發現漏洞的回報者,並感謝他們願意與 NVIDIA 合作進行協調漏洞揭露
除了安全性布告欄和版本資訊、知識庫文章、常見問題等相關文件所提供的資訊之外,NVIDIA 不提供其他有關漏洞的具體資訊。NVIDIA 不散佈已發現漏洞的攻擊/概念性驗證程式碼。
為遵循產業規範,NVIDIA 不會與外部實體分享內部安全測試或其他類型安全活動的結果發現。請注意,任何掃描 NVIDIA 安全生產系統的行為都將視為攻擊。如果您是 OEM 合作夥伴,請與 NVIDIA 方案經理協調您的需求。
NVIDIA 安全性布告欄會張貼在「安全性布告欄」頁面中。您可以在這裡訂閱通知。
NVIDIA PSIRT Participation
榮幸加入:
NVIDIA 是 CVE 編號機構。
免責聲明
NVIDIA PSIRT 流程和政策的各項事宜應視實際情況而定,如有變更,恕不另行通知。NVIDIA 不保證對任何特定問題或問題類別做出回應。使用本文件連結之文件或素材中的資訊應自行承擔風險,NVIDIA 恕不負責。NVIDIA 保留隨時變更或更新文件而不另行通知的權利。
所有 NVIDIA 資訊、設計規格、公版、檔案、繪圖、診斷、清單和其他文件 (統稱和獨稱為「素材」) 均依「現況」提供。NVIDIA 對於素材的內容不做任何明示、暗示、法定或其他保證,而且在法律允許的最大範圍內,有關所有明示或暗示的條件、聲明和保證,包含任何默示擔保或所有權條件、適銷性、品質滿意度、針對特定用途的適用性及非侵權證明,NVIDIA 概不負責。
我們認為資訊在發表時是正確而可靠的。然而,對於使用這類資訊,或使用資訊導致侵犯專利或其他第三方權利的結果,NVIDIA Corporation 概不負責。NVIDIA Corporation 未根據任何專利或專利權以暗示或其他方式授予授權。本內容發表提及的規格若有變更,恕不另行通知。本內容可取代與替代先前提供的任何資訊。若未取得 NVIDIA Corporation 的明確書面同意,禁止將 NVIDIA Corporation 產品使用於維生裝置或系統。