产品
安全

NVIDIA 会认真对待安全问题,并致力于快速评估和尽力解决。在收到安全问题的相关报告后,NVIDIA 会调配适当的资源进行分析、验证,并提供用于解决问题的纠正措施。

目录

更新时间:2022 年 2 月

NVIDIA PSIRT – 漏洞管理
报告潜在安全漏洞
协调漏洞披露
NVIDIA 致谢
订阅安全公告和更新
关于 NVIDIA 安全漏洞信息的媒体或 PR 质询
NVIDIA PSIRT 漏洞管理过程
使用通用漏洞评分系统 (CVSS) 评估安全风险
漏洞表述策略
安全公告
安全通知
漏洞补救
NVIDIA PSIRT 参与
客户权利:保修、支持和维护
免责声明

NVIDIA PSIRT – 漏洞管理

NVIDIA 产品安全事件响应团队 (PSIRT) 的目标是通过提供产品中漏洞的相关即时信息、指南和补救措施,更大限度地降低客户面临的与安全漏洞关联的风险。NVIDIA PSIRT 是一个全球团队,负责管理与 NVIDIA 产品相关的安全漏洞信息的接收、调查、内部协调、补救和披露。


NVIDIA PSIRT 的一项主要职责是协调所有外部确定的 NVIDIA 产品漏洞的响应和披露。

报告潜在安全漏洞

NVIDIA 欢迎来自独立研究人员、业内组织、供应商、客户和其他关注产品安全的消息人员的报告。

如需了解有关如何报告潜在漏洞的更多信息,请访问“报告漏洞”页面。

协调漏洞披露

NVIDIA 致力于遵循协调漏洞披露 (CVD)。CVD 是一种流程,在我们的产品中发现漏洞的独立报告人员可以通过此流程直接联系 NVIDIA,从而让我们有机会在该报告人员向公众披露相关信息之前对此漏洞进行调查和补救。

NVIDIA PSIRT 将在漏洞调查过程中与该报告人员进行合作,并酌情向其提供进展的新情况。在该报告人员同意的情况下,NVIDIA PSIRT 可能会在我们的“致谢”页面上表彰报告人员找到有效的产品漏洞并进行私密报告。在 NVIDIA 公开发布更新或缓解信息后,报告人员可以公开讨论漏洞。

通过遵循 NVIDIA 的 CVD,我们不仅能够保护我们的客户,同时还可以协调公众披露并相应地感谢报告人员发现相关漏洞。

有时,NVIDIA 会在其他供应商的产品中发现安全漏洞。如果发生这种情况,NVIDIA 将遵循其标准的协调漏洞披露流程,将已确定的问题传达给受影响的供应商或第三方协调中心。

NVIDIA 致谢

虽然 NVIDIA 目前没有漏洞奖励计划,但根据我们的协调漏洞披露政策,当外部报告的安全问题得到解决时,我们会表示感谢。

  • CVE 编号授给 NVIDIA 产品代码中已解决的问题,这些问题需要客户下载修复程序。我们还在安全公告中就此问题致谢。
  • 我们致谢网站中提及的内容适用于我们云服务中已解决的安全问题,而这些问题不需要客户下载修复程序以获得保护。PSIRT 保留具体决策的权利。

订阅安全公告和更新

您可以在“NVIDIA 安全公告”页面上找到已发布的安全公告的列表。

强烈建议客户订阅 NVIDIA 安全公告通知,以便在 NVIDIA 安全公告初次发布或进行重大修改时及时获知。

您可以在此处订阅这些通知。

有关 NVIDIA 安全公告的信息,请参阅本文档的安全公告部分。

关于 NVIDIA 安全漏洞信息的媒体或 PR 质询

请联系此处列出的公司通讯联系人之一。

NVIDIA PSIRT 漏洞管理过程

下图从高层次说明了 NVIDIA PSIRT 过程。

图 1. NVIDIA 产品安全事件响应团队过程

policies-image-400

使用通用漏洞评分系统 (CVSS) 评估安全风险

NVIDIA 目前使用通用漏洞评分系统版本 3.1 (CVSS v3.1) 来评估已确定漏洞的安全级别。CVSS 启用一种通用评分方法以及一种表述漏洞特征和影响的通用语言。CVSS 尝试建立一种度量漏洞的严重程度的方法。CVSS 模型使用三种不同的度量方法或评分,包括基本、时间和环境计算,每种都包含一组指标。您可以在下列位置找到由事件响应和安全团队论坛 (FIRST) 维护的完整标准:https://www.first.org/cvss

NVIDIA 遵循 CVSS v3.0 规范文档定性严重程度评定量表 (https://www.first.org/cvss/specification-document) 来定义严重程度评定,如下表中所示:

安全影响评定 CVSS 评分
严重 9.0 – 10.0
7.0 – 8.9
4.0 – 6.9
0.1 – 3.9
0.0

如果在 CVSS 评分中未正确获得附加因素,NVIDIA 将保留在特定情况下不遵循这些准则的权利。

在适用的情况下,NVIDIA 安全公告将提供 CVSS v3.0 基本评分。NVIDIA 仅专注于“基本”指标组,因为它将为客户带来更大价值,并代表漏洞的内部特征。NVIDIA 的风险评估基于各种已安装系统中的平均风险,可能并不代表您本地安装的真正风险。

NVIDIA 建议咨询安全或 IT 专家以评估您特定配置的风险,并鼓励您根据网络参数计算环境评分。NVIDIA 建议所有客户在评估其整体风险时考虑基本评分以及可能与环境相关的任何时间和/或环境评分。此整体评分表示时间中的某个时刻,并根据您的特定环境而调整。您应该使用安全或 IT 专家对问题的评估和此最终评分来设置环境中响应的优先级。

漏洞表述策略

NVIDIA 将下列准则用于非第三方软件漏洞,以确定适当的表述计划:

安全影响评定 CVSS 评分 表述计划
严重 9.0-10.0 NVIDIA 安全公告
7.0-8.9
4.0-6.9
3.9 或以下 产品发行说明

如果 NVIDIA 产品中使用的第三方软件组件中存在安全问题,NVIDIA 可能会发布安全公告。如果针对第三方软件组件漏洞发出了安全公告,NVIDIA 通常会使用由组件创建者提供的 CVSS 评分。在某些情况下,NVIDIA 可能会调整 CVSS 评分,以反映对 NVIDIA 产品的影响。

如果在 CVSS 评分中未正确获得附加因素,NVIDIA 将保留在特定情况下不遵循这些准则的权利。

安全公告

在大多数情况下,NVIDIA 会在安全漏洞已有确定的实用变通方案或安全更新程序时通知客户。该通知将以定向通讯发送,或通过发布安全公告予以公布。发布安全公告前,NVIDIA PSIRT 会首先完成漏洞响应过程并确定存在足以解决此漏洞的软件更新程序或变通方案,或者计划随后向公众披露用以解决漏洞的补救措施。

安全公告提供能够让客户保护自己的充分详细信息,但不提供能够让恶意用户利用此信息的冗长详细信息,以此标准来尝试平衡正确的信息量。NVIDIA 安全公告通常包含以下适用信息:

  1. 受影响的产品和版本
  2. 漏洞的通用漏洞枚举 (CVE) 标识符(请参阅 https://cve.mitre.org
  3. 对漏洞的简要说明和一旦被利用的潜在影响
  4. 漏洞的通用漏洞评分系统 (CVSS) 严重程度评定(请参阅 https://www.first.org/cvss/user-guide.html
  5. 补救措施详细信息,如安全升级、缓解措施或客户要求的其他措施
  6. 对已确定漏洞的报告人员致谢并感谢其与 NVIDIA 就协调漏洞披露进行合作

除了安全公告和发行说明、知识库文章、常见问题等相关文档中提供的信息之外,NVIDIA 不会提供关于漏洞细节的其他信息。NVIDIA 不会散布已确定漏洞的利用/概念验证代码。

按照行业惯例,NVIDIA 不会与外部实体共享来自内部安全测试或其他类型安全活动的结果。必须注意的是,我们会将对 NVIDIA 安全生产系统的任何扫描视为攻击行为。如果您是 OEM 合作伙伴,请与 NVIDIA 程序管理员协调您的需求。

NVIDIA 安全公告会在“安全公告”页面上发布。您可以在此处订阅这些通知。

安全通知

在漏洞可能已受到大量公众关注、可能被利用或预期会被主动利用的情况下,NVIDIA 可能会发布特殊通讯以快速、恰当地对公众披露作出响应。在这种情况下,NVIDIA 可能会发送通讯,并且可能或不会提供一套完整的补丁或变通方案。这将标记为安全通知并在“安全公告”页面上发布。

漏洞补救

NVIDIA 会认真对待安全问题,并致力于及时评估和快速解决。响应时间线将取决于很多因素,包括:严重程度、受影响产品、当前开发周期、QA 周期以及该问题是否只能在主要版本中更新。

补救措施可以采用下列一种或多种形式:

  1. 新版本
  2. NVIDIA 提供的安全更新
  3. 从第三方下载和安装更新或补丁的说明
  4. 缓解漏洞的变通方案

尽管如此,NVIDIA 仍不能保证提供特定的问题解决方法,且并非所有已确定的问题都能得到解决。

NVIDIA PSIRT 参与

引以为豪的成员

First

NVIDIA 是 CVE 编号机构。

CVE

客户权利:保修、支持和维护

在任何 NVIDIA 软件产品中,与保修、支持和维护(包括漏洞)相关的 NVIDIA 客户权利都受 NVIDIA 与每位客户之间的适用协议的约束。

此网页上的声明不会修改或扩展任何客户权利,也不会创造任何附加保修。提供给 NVIDIA 的关于 NVIDIA 产品中漏洞的任何信息(包括产品漏洞报告中的所有信息)应成为 NVIDIA 的专有信息。

免责声明

NVIDIA PSIRT 过程和策略的所有方面如有变更,恕不另行通知,并将根据具体情况考虑。不保证对任何特定问题或问题类别作出响应。如果您使用文档的相关信息或文档中链接的资料,风险将由您自行承担。NVIDIA 有权随时更改或更新本文档,恕不另行通知。

所有 NVIDIA 信息、设计规范、参考板、文件、图纸、诊断信息、列表和其他文档(统称与单称均为“资料”)均“如实”提供。NVIDIA 并未作出与资料相关的明示、暗含、法定或其他形式的保证,并在法律允许的最大范围内排除所有明示或暗含的条件、陈述和保证,包括任何对所有权、适销性、满意度质量、特定用途适用性及非侵权的任何暗含保证或条件。

信息在提供时被认为是准确和可靠的。但是,对使用此类信息的后果或因使用此类信息而造成侵犯第三方专利权或其他权利的后果,NVIDIA Corporation 概不负责。文中并未以暗示的方式或者依据 NVIDIA Corporation 的任何专利或专利权授予许可证。本出版物中提及的规格如有变更,恕不另行通知。本出版物取替以前提供的所有信息。未经 NVIDIA Corporation 明确的书面同意,不得将 NVIDIA Corporation 产品用作生命支持设备或系统中的关键部件。

公司信息
参与
新闻与活动