Sobre o VMware Security Response Center
Uma das prioridades da VMware é preservar a confiança que os clientes depositam em nós. Reconhecemos que, a menos que nossos produtos atendam aos mais altos padrões de segurança, os clientes não poderão utilizá-los com confiança. Com o objetivo de alcançar isso, o VMware Security Response Center (vSRC) desenvolveu e mantém um programa para identificar, responder a e abordar vulnerabilidades. Esta publicação documenta nossas políticas para abordar vulnerabilidades em produtos corporativos e para clientes da VMware (locais). Também descreve sob quais circunstâncias emitimos um identificador de vulnerabilidades e exposições comuns (CVE, pela sigla em inglês) e um VMware Security Advisory (VMSA) e explica como relatar uma vulnerabilidade em código mantido pela VMware. Além disso, define a terminologia usada em nossas publicações e ações corretivas e documenta nosso compromisso com as práticas de porto seguro.
Como relatar vulnerabilidades

Se você acredita ter encontrado uma vulnerabilidade em um produto ou serviço da VMware, informe-nos em um e-mail privado para security@vmware.com. Sugerimos o uso de um e-mail criptografado para enviar seus relatórios. Nossa chave PGP pública está disponível em kb.vmware.com/s/article/1055.
A VMware segue as diretrizes de divulgação responsável de vulnerabilidades. De acordo com elas, relator comunica em particular e diretamente à VMware a vulnerabilidade recém-descoberta nos produtos e serviços da VMware. Isso permite que a VMware aborde a vulnerabilidade no produto e nos serviços afetados antes que qualquer parte divulgue publicamente os detalhes da vulnerabilidade ou exploração. Caso o relator siga as diretrizes de divulgação responsável de vulnerabilidades, a VMware pode dar crédito a ele pela detecção e geração de relatórios de vulnerabilidades.
Se você é cliente da VMware, recomendamos que crie uma solicitação de suporte (SR, pela sigla em inglês) junto à equipe de serviços globais de suporte da VMware.
Entenda nosso processo
Etapa 1
Receber e confirmar
Etapa 2
Fazer a triagem
Etapa 3
Investigar
Etapa 4
Corrigir
Etapa 5
Comunicar e dar crédito
Noções básicas sobre gravidade
e vulnerabilidades e exposições comuns
Definições de gravidade da VMware
As publicações da VMware utilizam o Common Vulnerability Scoring System (CVSS) padrão do setor, além da terminologia de gravidade qualitativa que se alinha aos padrões do FIRST.
Classificação qualitativa da VMware | Classificação qualitativa do FIRST | Pontuação do CVSS |
Crítico | Crítico | 9,0 - 10,0 |
Importante | Alto | 7,0 - 8,9 |
Moderado | Médio | 4,0 - 6,9 |
Baixo | Baixo | 0,1 - 3,9 |
Nenhum | Nenhum | 0,0 |
Observação: a classificação qualitativa da VMware pode mudar e não depende exclusivamente da pontuação do CVSS.

Identificadores de vulnerabilidades e exposições comuns:
Como uma entidade de numeração de CVE (CNA, pela sigla em inglês) aprovada, a VMware está autorizada a atribuir identificadores de CVE a vulnerabilidades que afetam produtos em nosso escopo distinto e acordado.
A VMware emitirá um identificador de CVE para uma vulnerabilidade quando ela atender a todos os seguintes critérios:
- A vulnerabilidade é resultado de um comportamento inesperado no código mantido pela VMware.
- A vulnerabilidade leva a um comprometimento mensurável da confidencialidade, integridade ou disponibilidade.
- A vulnerabilidade existe ou em um ou mais produtos da VMware compatíveis e documentados na Matriz do ciclo de vida de produtos da VMware ou em um projeto de código aberto mantido pela VMware e atualmente com suporte.
VMware Security Advisories

A VMware divulga vulnerabilidades no VMware Security Advisories. Os VMSAs contêm as seguintes informações:
- Informações qualitativas de gravidade
- Pontuação do CVSS
- Conjuntos de produtos atualmente com suporte que foram afetados
- Descrições das vulnerabilidades
- Vetores de ataque conhecidos
- Informações de correção
- Soluções alternativas para vulnerabilidades críticas (se possível)
- Notas informando se a exploração está acontecendo em produtos e serviços já lançados
Acompanhe as atualizações sobre as vulnerabilidades mais recentes

Soluções alternativas
Para a VMware, uma solução alternativa é uma alteração de configuração em vigor e com suporte que aborda vetores de ataque conhecidos para determinada vulnerabilidade. A VMware investigará possíveis soluções alternativas para vulnerabilidades críticas documentadas em VMSAs.
Porto seguro

As atividades conduzidas em conformidade com esta política serão consideradas conduta autorizada, e a VMware não moverá nenhuma ação legal contra você. Se uma ação legal for movida por um terceiro contra você em relação a atividades conduzidas em conformidade com esta política, agiremos para esclarecer que suas ações foram conduzidas em conformidade com esta política.