NVIDIA 重視各種安全考量,而且會設法迅速評估以力求解決產品安全問題。每當使用者回報安全考量時,NVIDIA 都會交由適當的資源進行分析、驗證並提供修正措施,以解決問題。
NVIDIA PSIRT – 漏洞管理 回報潛在安全性漏洞 協調漏洞揭露 NVIDIA 致謝名單 訂閱安全性布告欄和更新 有關 NVIDIA 安全性漏洞資訊的媒體或公關諮詢 NVIDIA PSIRT 漏洞管理程序 使用通用漏洞評分系統 (CVSS) 評估安全性風險 漏洞通訊政策 安全性布告欄 安全性公告 漏洞補救 客戶權利: 保固、支援 NVIDIA PSIRT Participation 客戶權利: 保固、支援及維護 免責聲明
NVIDIA 產品安全事件回應團隊 (PSIRT) 的目標在於提供產品漏洞的及時資訊、指引及補救措施,盡可能降低安全漏洞對客戶帶來的風險。NVIDIA PSIRT 是一個跨國團隊,負責接收、調查、內部協調、補救及揭露 NVIDIA 產品的相關安全性漏洞資訊。
NVIDIA PSIRT 的其中一項重要職責,是針對由外部人士發現的所有 NVIDIA 產品漏洞進行協調回應和揭露事宜。
NVIDIA 歡迎獨立研究人員、產業組織、廠商、客戶和其他來源回報有關產品安全的問題。
若要進一步瞭解如何回報潛在漏洞,請造訪「回報漏洞」頁面。
NVIDIA 致力遵循協調漏洞揭露 (Coordinated Vulnerability Disclosure,CVD)。CVD 程序可供在我們產品中發現漏洞的獨立回報者,在公開揭露資訊之前直接聯絡 NVIDIA,讓我們有機會調查及補救漏洞。
NVIDIA PSIRT 將在漏洞調查期間全程與回報者合作,並且會適時提供回報者有關進度的更新資訊。在取得回報者的同意之下,NVIDIA PSIRT 會將回報者列於我們的「致謝」頁面,表揚他們找到確切產品漏洞及私下回報問題的行為。當 NVIDIA 公布更新或改善的資訊後,歡迎通報者公開討論該安全性漏洞或弱點。
遵循 NVIDIA 的 CVD 不僅能讓我們保護客戶,同時還能協調公開揭露事宜,以及適切地表揚發現漏洞的回報者。
如果回報的漏洞涉及廠商產品,NVIDIA PSIRT 會直接通知廠商、與回報者合作或委託第三方協調中心處理。
雖然 NVIDIA 目前沒有漏洞回報獎勵計畫,但我們會根據協調漏洞揭露政策,並在解決外部回報的安全性問題後,將回報者加入我們的致謝名單。
已發佈的安全性布告欄清單位於 NVIDIA「安全性布告欄」頁面。
我們強烈建議客戶訂閱 NVIDIA 安全性布告欄通知,隨時取得 NVIDIA 安全性布告欄的首次發行或重大修訂相關資訊。
您可以在這裡訂閱通知。
如需 NVIDIA 安全性布告欄的相關資訊,請參閱本文件的「安全性布告欄」段落。
請聯絡此處列出的任一位企業通訊聯絡人。
下圖清楚呈現 NVIDIA PSIRT 程序。
圖 1. NVIDIA 產品安全事件回應團隊程序
NVIDIA 目前使用通用漏洞評分系統 3.0 版 (CVSS v3.0) 來評估已發現漏洞的嚴重性等級。CVSS 讓我們能透過通用的評分方法和語言傳達漏洞的特性和影響。CVSS 試圖建立一套度量基準,讓我們據以衡量漏洞帶來的安全疑慮。CVSS 模式使用基本、時間和環境等三種不同的度量或評分計算,每種計算都含有一組計量方式。完整的標準由「事件回應和安全團隊論壇」(Forum of Incident Response and Security Teams,FIRST) 負責維護。如需相關資訊,請造訪 https://www.first.org/cvss。
NVIDIA 依照 CVSS v3.0 規格文件「性質嚴重性量表」(Qualitative Severity Rating Scale,https://www.first.org/cvss/specification-document) 來定義嚴重性評等,如下表所示:
倘若 CVSS 評分有其他未妥善考量到的因素,NVIDIA 保留不遵從這些指引的權利。
NVIDIA 安全性布告欄將盡可能提供 CVSS v3.0 基本評分,可能也會提供時間評分。NVIDIA 的風險評估乃基於多種安裝系統的平均風險,不一定能真實呈現您本機安裝的風險。
NVIDIA 建議您諮詢安全或 IT 專業人員來評估特定設定的風險,並鼓勵您根據網路參數計算環境評分。NVIDIA 建議所有客戶將基本評分及任何與環境相關的時間和/或環境評分納入考量,藉此評估整體風險。這裡的整體評分代表針對您的特定環境,與特定時間點上的風險評分。您應使用安全或 IT 專業人員的問題評估和此處的最終評分,以針對您的環境排列回應的優先順序。
NVIDIA 使用以下指引來評估非第三方應用軟體漏洞,進而決定合適的通訊方案:
如果 NVIDIA 產品使用的第三方應用軟體元件出現安全性問題,NVIDIA 會發佈安全性布告欄。如果 NVIDIA 發佈有關第三方應用軟體元件漏洞的安全性布告欄,通常會使用元件製造商提供的 CVSS 評分。在某些情況下,NVIDIA 會調整 CVSS 評分來反應漏洞對 NVIDIA 產品的影響。
在大多數的情況下,當解決某安全性漏洞的因應措施或安全性更新證實可行時,NVIDIA 通常會通知客戶。通知方法不外乎是直接聯絡受影響客戶,或是張貼安全性布告欄。在張貼安全性布告欄前,NVIDIA PSIRT 會先完成漏洞回應程序,並且判斷目前是否有足以解決漏洞的應用軟體更新或因應措施,或是計劃日後公開揭露補救措施解決漏洞之後,才會張貼安全性布告欄。
安全性布告欄的目的在於提供平衡的資訊數量,讓客戶能取得足夠的詳細資訊保護自己,而非揭示鉅細靡遺的細節讓心懷不軌的使用者濫用資訊。 如果可行的話,NVIDIA 安全性布告欄通常包含以下資訊:
除了安全性布告欄和版本資訊、知識庫文章、常見問題等相關文件所提供的資訊之外,NVIDIA 不提供其他有關漏洞的具體資訊。NVIDIA 不散佈已發現漏洞的攻擊/概念性驗證程式碼。
為遵循產業規範,NVIDIA 不會與外部實體分享內部安全測試或其他類型安全活動的結果發現。請注意,任何掃描 NVIDIA 安全生產系統的行為都將視為攻擊。如果您是 OEM 合作夥伴,請與 NVIDIA 方案經理協調您的需求。
NVIDIA 安全性布告欄會張貼在「安全性布告欄」頁面中。 您可以在這裡訂閱通知。
安全性公告
當漏洞引起大眾關注、可能會遭到攻擊或預期遭到頻繁攻擊時,NVIDIA 會發佈特別的通訊內容來針對公開揭露資訊做出迅速而適切的回應。此時,為了加快通訊的效力,NVIDIA 不一定會提供完整的修補程式或因應措施。 我們將這種內容標示為安全性公告,並且會張貼在「安全性布告欄」頁面中。
NVIDIA 重視各種安全考量,而且會設法評估以力求盡快解決產品安全問題。回應的時間表會受到許多因素所影響,包括: 嚴重性、受影響的產品、目前的開發週期、QA 週期,以及問題是否只能在主要版本中更新。
補救措施可能會採用以下一或多種形式提供:
儘管有前述規定,NVIDIA 仍無法保證問題會有特定解決方案,或是所有證實的問題皆能獲得解決。
Proud Member of
NVIDIA is a CVE Numbering Authority.
NVIDIA 客戶的保固、支援及維護相關權利 (包括任何 NVIDIA 軟體產品中的漏洞),均受到 NVIDIA 與每位客戶之間的合約所規範。
本網頁中的敘述並未修改或延伸客戶的任何權利,也未增列任何額外的保固項目。所有提供給 NVIDIA 的 NVIDIA 產品漏洞資訊 (包括產品漏洞報告中的資訊) 都應成為 NVIDIA 的獨有資訊。
NVIDIA PSIRT 程序和政策的各項事宜應視實際情況而定,如有變更,恕不另行通知。NVIDIA 不保證對任何特定問題或問題類別做出回應。使用本文件連結之文件或素材中的資訊應自行承擔風險,NVIDIA 恕不負責。NVIDIA 保留隨時變更或更新文件而不另行通知的權利。
所有 NVIDIA 資訊、設計規格、公板、檔案、繪圖、診斷、清單和其他文件 (統稱和獨稱為「素材」) 均依「現況」提供。NVIDIA 對於素材的內容不做任何明示、暗示、法定或其他保證,而且在法律允許的最大範圍內,有關所有明示或暗示的條件、聲明和保證,包含任何默示擔保或所有權條件、適銷性、品質滿意度、針對特定用途的適用性及非侵權證明,NVIDIA 概不負責。
我們認為資訊在發表時是正確而可靠的。然而,對於使用這類資訊,或使用資訊導致侵犯專利或其他第三方權利的結果,NVIDIA Corporation 概不負責。NVIDIA Corporation 未根據任何專利或專利權以暗示或其他方式授予授權。本內容發表提及的規格若有變更,恕不另行通知。本內容可取代與替代先前提供的任何資訊。若未取得 NVIDIA Corporation 的明確書面同意,禁止將 NVIDIA Corporation 產品使用於維生裝置或系統。