Sobre o VMware Security Response Center
Uma das prioridades da VMware é preservar a confiança que os clientes depositam em nós. Reconhecemos que, a menos que nossos produtos atendam aos mais altos padrões de segurança, os clientes não poderão utilizá-los com confiança. Com o objetivo de alcançar isso, o VMware Security Response Center (vSRC) desenvolveu e mantém um programa para identificar, responder a e abordar vulnerabilidades. Esta publicação documenta nossas políticas para abordar vulnerabilidades em produtos corporativos e para clientes da VMware (locais). Também descreve sob quais circunstâncias emitimos um identificador de vulnerabilidades e exposições comuns (CVE, pela sigla em inglês) e um VMware Security Advisory (VMSA) e explica como relatar uma vulnerabilidade em código mantido pela VMware. Além disso, define a terminologia usada em nossas publicações e ações corretivas e documenta nosso compromisso com as práticas de porto seguro.
Como relatar vulnerabilidades
Processo para relatar vulnerabilidades ao VMware Security Response Center
Se você acredita ter encontrado uma vulnerabilidade em um produto ou serviço da VMware, informe-nos em um e-mail privado para security@vmware.com. Sugerimos o uso de um e-mail criptografado para enviar seus relatórios. Nossa chave PGP pública está disponível em kb.vmware.com/s/article/1055.
A VMware segue as diretrizes de divulgação responsável de vulnerabilidades. De acordo com elas, relator comunica em particular e diretamente à VMware a vulnerabilidade recém-descoberta nos produtos e serviços da VMware. Isso permite que a VMware aborde a vulnerabilidade no produto e nos serviços afetados antes que qualquer parte divulgue publicamente os detalhes da vulnerabilidade ou exploração. Caso o relator siga as diretrizes de divulgação responsável de vulnerabilidades, a VMware pode dar crédito a ele pela detecção e geração de relatórios de vulnerabilidades.
Se você é cliente da VMware, recomendamos que crie uma solicitação de suporte (SR, pela sigla em inglês) junto à equipe de serviços globais de suporte da VMware.
Entenda nosso processo
Processo do VMware Security Response Center para lidar com suspeitas de vulnerabilidade
Etapa 1
Receber e confirmar
Etapa 2
Fazer a triagem
Etapa 3
Investigar
Etapa 4
Corrigir
Etapa 5
Comunicar e dar crédito
Noções básicas sobre gravidade
e vulnerabilidades e exposições comuns
Definições de gravidade da VMware
As publicações da VMware utilizam o Common Vulnerability Scoring System (CVSS) padrão do setor, além da terminologia de gravidade qualitativa que se alinha aos padrões do FIRST.
Classificação qualitativa da VMware | Classificação qualitativa do FIRST | Pontuação do CVSS |
| Crítico | Crítico | 9,0 - 10,0 |
| Importante | Alto | 7,0 - 8,9 |
| Moderado | Médio | 4,0 - 6,9 |
| Baixo | Baixo | 0,1 - 3,9 |
| Nenhum | Nenhum | 0,0 |
Observação: a classificação qualitativa da VMware pode mudar e não depende exclusivamente da pontuação do CVSS.
Identificadores de vulnerabilidades e exposições comuns:
Como uma entidade de numeração de CVE (CNA, pela sigla em inglês) aprovada, a VMware está autorizada a atribuir identificadores de CVE a vulnerabilidades que afetam produtos em nosso escopo distinto e acordado.
A VMware emitirá um identificador de CVE para uma vulnerabilidade quando ela atender a todos os seguintes critérios:
- A vulnerabilidade é resultado de um comportamento inesperado no código mantido pela VMware.
- A vulnerabilidade leva a um comprometimento mensurável da confidencialidade, integridade ou disponibilidade.
- A vulnerabilidade existe ou em um ou mais produtos da VMware compatíveis e documentados na Matriz do ciclo de vida de produtos da VMware ou em um projeto de código aberto mantido pela VMware e atualmente com suporte.
VMware Security Advisories
A VMware divulga vulnerabilidades no VMware Security Advisories. Os VMSAs contêm as seguintes informações:
- Informações qualitativas de gravidade
- Pontuação do CVSS
- Conjuntos de produtos atualmente com suporte que foram afetados
- Descrições das vulnerabilidades
- Vetores de ataque conhecidos
- Informações de correção
- Soluções alternativas para vulnerabilidades críticas (se possível)
- Notas informando se a exploração está acontecendo em produtos e serviços já lançados
Acompanhe as atualizações sobre as vulnerabilidades mais recentes
Soluções alternativas
Para a VMware, uma solução alternativa é uma alteração de configuração em vigor e com suporte que aborda vetores de ataque conhecidos para determinada vulnerabilidade. A VMware investigará possíveis soluções alternativas para vulnerabilidades críticas documentadas em VMSAs.
Porto seguro
As atividades conduzidas em conformidade com esta política serão consideradas conduta autorizada, e a VMware não moverá nenhuma ação legal contra você. Se uma ação legal for movida por um terceiro contra você em relação a atividades conduzidas em conformidade com esta política, agiremos para esclarecer que suas ações foram conduzidas em conformidade com esta política.