NVIDIA 会认真对待安全问题,并致力于快速评估和尽力解决。在收到安全问题的相关报告后,NVIDIA 会调配适当的资源进行分析、验证,并提供用于解决问题的纠正措施。
协调漏洞披露
NVIDIA 致力于遵循协调漏洞披露 (CVD)。CVD 是一种流程,在我们的产品中发现漏洞的独立报告人员可以通过此流程直接联系 NVIDIA,从而让我们有机会在该报告人员向公众披露相关信息之前对此漏洞进行调查和补救。
NVIDIA PSIRT 将在漏洞调查过程中与该报告人员进行合作,并酌情向其提供进展的新情况。在该报告人员同意的情况下,NVIDIA PSIRT 可能会在我们的“致谢”页面上表彰报告人员找到有效的产品漏洞并进行私密报告。在 NVIDIA 公开发布更新或缓解信息后,报告人员可以公开讨论漏洞。
通过遵循 NVIDIA 的 CVD,我们不仅能够保护我们的客户,同时还可以协调公众披露并相应地感谢报告人员发现相关漏洞。
有时,NVIDIA 会在其他供应商的产品中发现安全漏洞。如果发生这种情况,NVIDIA 将遵循其标准的协调漏洞披露流程,将已确定的问题传达给受影响的供应商或第三方协调中心。
关于 NVIDIA 安全漏洞信息的媒体或 PR 质询
请联系此处列出的公司通讯联系人之一。
使用通用漏洞评分系统 (CVSS) 评估安全风险
NVIDIA 目前使用通用漏洞评分系统版本 3.1 (CVSS v3.1) 来评估已确定漏洞的安全级别。CVSS 启用一种通用评分方法以及一种表述漏洞特征和影响的通用语言。CVSS 尝试建立一种度量漏洞的严重程度的方法。CVSS 模型使用三种不同的度量方法或评分,包括基本、时间和环境计算,每种都包含一组指标。您可以在下列位置找到由事件响应和安全团队论坛 (FIRST) 维护的完整标准:https://www.first.org/cvss。
NVIDIA 遵循 CVSS v3.0 规范文档定性严重程度评定量表 (https://www.first.org/cvss/specification-document) 来定义严重程度评定,如下表中所示:
| 安全影响评定 | CVSS 评分 |
| 严重 | 9.0 – 10.0 |
| 高 | 7.0 – 8.9 |
| 中 | 4.0 – 6.9 |
| 低 | 0.1 – 3.9 |
| 无 | 0.0 |
如果在 CVSS 评分中未正确获得附加因素,NVIDIA 将保留在特定情况下不遵循这些准则的权利。
在适用的情况下,NVIDIA 安全公告将提供 CVSS v3.0 基本评分。NVIDIA 仅专注于“基本”指标组,因为它将为客户带来更大价值,并代表漏洞的内部特征。NVIDIA 的风险评估基于各种已安装系统中的平均风险,可能并不代表您本地安装的真正风险。
NVIDIA 建议咨询安全或 IT 专家以评估您特定配置的风险,并鼓励您根据网络参数计算环境评分。NVIDIA 建议所有客户在评估其整体风险时考虑基本评分以及可能与环境相关的任何时间和/或环境评分。此整体评分表示时间中的某个时刻,并根据您的特定环境而调整。您应该使用安全或 IT 专家对问题的评估和此最终评分来设置环境中响应的优先级。
漏洞表述策略
NVIDIA 将下列准则用于非第三方软件漏洞,以确定适当的表述计划:
| 安全影响评定 | CVSS 评分 | 表述计划 |
| 严重 | 9.0-10.0 | NVIDIA 安全公告 |
| 高 | 7.0-8.9 | |
| 中 | 4.0-6.9 | |
| 低 | 3.9 或以下 |
如果 NVIDIA 产品中使用的第三方软件组件中存在安全问题,NVIDIA 可能会发布安全公告。如果针对第三方软件组件漏洞发出了安全公告,NVIDIA 通常会使用由组件创建者提供的 CVSS 评分。在某些情况下,NVIDIA 可能会调整 CVSS 评分,以反映对 NVIDIA 产品的影响。
安全公告
在大多数情况下,NVIDIA 会在安全漏洞已有确定的实用变通方案或安全更新程序时通知客户。该通知将以定向通讯发送,或通过发布安全公告予以公布。发布安全公告前,NVIDIA PSIRT 会首先完成漏洞响应过程并确定存在足以解决此漏洞的软件更新程序或变通方案,或者计划随后向公众披露用以解决漏洞的补救措施。
安全公告提供能够让客户保护自己的充分详细信息,但不提供能够让恶意用户利用此信息的冗长详细信息,以此标准来尝试平衡正确的信息量。NVIDIA 安全公告通常包含以下适用信息:
- 受影响的产品和版本
- 漏洞的通用漏洞枚举 (CVE) 标识符(请参阅 https://cve.mitre.org)
- 对漏洞的简要说明和一旦被利用的潜在影响
- 漏洞的通用漏洞评分系统 (CVSS) 严重程度评定(请参阅 https://www.first.org/cvss/user-guide.html)
- 补救措施详细信息,如安全升级、缓解措施或客户要求的其他措施
- 对已确定漏洞的报告人员致谢并感谢其与 NVIDIA 就协调漏洞披露进行合作
除了安全公告和发行说明、知识库文章、常见问题等相关文档中提供的信息之外,NVIDIA 不会提供关于漏洞细节的其他信息。NVIDIA 不会散布已确定漏洞的利用/概念验证代码。
按照行业惯例,NVIDIA 不会与外部实体共享来自内部安全测试或其他类型安全活动的结果。必须注意的是,我们会将对 NVIDIA 安全生产系统的任何扫描视为攻击行为。如果您是 OEM 合作伙伴,请与 NVIDIA 程序管理员协调您的需求。
NVIDIA 安全公告会在“安全公告”页面上发布。您可以在此处订阅这些通知。
NVIDIA PSIRT 参与
引以为豪的成员
NVIDIA 是 CVE 编号机构。
免责声明
NVIDIA PSIRT 过程和策略的所有方面如有变更,恕不另行通知,并将根据具体情况考虑。不保证对任何特定问题或问题类别作出响应。如果您使用文档的相关信息或文档中链接的资料,风险将由您自行承担。NVIDIA 有权随时更改或更新本文档,恕不另行通知。
所有 NVIDIA 信息、设计规范、参考板、文件、图纸、诊断信息、列表和其他文档(统称与单称均为“资料”)均“如实”提供。NVIDIA 并未作出与资料相关的明示、暗含、法定或其他形式的保证,并在法律允许的最大范围内排除所有明示或暗含的条件、陈述和保证,包括任何对所有权、适销性、满意度质量、特定用途适用性及非侵权的任何暗含保证或条件。
信息在提供时被认为是准确和可靠的。但是,对使用此类信息的后果或因使用此类信息而造成侵犯第三方专利权或其他权利的后果,NVIDIA Corporation 概不负责。文中并未以暗示的方式或者依据 NVIDIA Corporation 的任何专利或专利权授予许可证。本出版物中提及的规格如有变更,恕不另行通知。本出版物取替以前提供的所有信息。未经 NVIDIA Corporation 明确的书面同意,不得将 NVIDIA Corporation 产品用作生命支持设备或系统中的关键部件。
