关于 VMware 安全响应中心
VMware 的首要任务是保持客户对我们的信任。我们认识到,除非我们的产品满足最高安全标准,否则客户将无法自信地使用这些产品。为了实现这一目标,VMware 安全响应中心 (vSRC) 制定了一项计划来识别、响应和处理漏洞。本出版物记录了我们处理 VMware 企业级产品和消费级产品(本地部署)中漏洞的政策,介绍了我们将在什么情况下发布 CVE 标识和 VMware 安全公告 (VMSA),说明如何报告 VMware 所维护代码中的漏洞,定义我们的出版物中使用的术语以及纠正措施,并记录我们对安全港实践的承诺。
如何报告漏洞
向 VMware 安全响应中心报告漏洞的流程
如果您认为自己在 VMware 产品或服务中发现了漏洞,请向我们发送个人邮件:security@vmware.com。建议您使用加密电子邮件提交报告。您可以通过以下网址找到我们的 PGP 公钥:kb.vmware.com/s/article/1055。
VMware 遵循负责任的漏洞披露准则,即,研究人员直接向 VMware 私下报告 VMware 产品和服务中新发现的漏洞。这使 VMware 能够在任何一方公开披露漏洞/利用详细信息之前处理受影响产品和服务中的漏洞。在漏洞发现和报告方面,VMware 可能将该次发现归功于遵循负责任漏洞披露准则的研究人员。
如果您是 VMware 客户,建议您向 VMware 全球支持服务团队提交 SR。
了解我们的流程
VMware 安全响应中心处理可疑漏洞的流程
第 1 步
接收并确认
第 2 步
分类
第 3 步
调查
第 4 步
修复
第 5 步
沟通与归功
了解严重性
以及常见漏洞和暴露
VMware 严重性定义
除了符合 FIRST 标准的定性的严重性术语,VMware 出版物还利用行业标准“通用漏洞评分系统”(CVSS)
VMware 定性评级 | FIRST 定性评级 | CVSS 评分 |
| 严重 | 严重 | 9.0 - 10.0 |
| 重要 | 高 | 7.0 - 8.9 |
| 中等 | 中 | 4.0 - 6.9 |
| 低 | 低 | 0.1 - 3.9 |
| 无 | 无 | 0.0 |
注意:VMware 定性评级可能会发生变化,并且不仅仅取决于 CVSS 评分。
常见漏洞和暴露 (CVE) 标识:
作为经批准的CVE 编号机构(CNA),VMware 有权为影响我们明确商定的不同范围内的产品的漏洞分配 CVE 标识。
当漏洞满足以下所有条件时,VMware 应为其发布 CVE 标识:
- 该漏洞是由 VMware 维护的代码中的意外行为造成的。
- 该漏洞会导致可衡量的机密性、完整性或可用性损害。
- 该漏洞位于记录在 VMware 产品生命周期列表中的一个或多个当前受支持的 VMware 产品中,或者该漏洞位于当前受支持的 VMware 维护的开源项目中。
VMware 安全公告 (VMSA)
VMware 在 VMware 安全公告中披露漏洞。VMSA 中必须包含以下信息:
- 定性的严重性信息
- CVSS 评分
- 当前受支持的受影响产品套件
- 漏洞描述
- 当前已知的攻击途径
- 修复信息
- 严重性为“严重”的漏洞的解决方法(如果可能)
- 说明是否存在漏洞利用的确认信息
及时了解最新漏洞
解决方法
VMware 将解决方法定义为受支持的就地配置更改,用于消除给定漏洞的当前已知攻击途径。VMware 将调查 VMSA 中记录的严重性为“严重”的漏洞的潜在解决方法。
安全港
以符合本政策的方式开展的任何活动都将被视为授权行为,VMware 不会对您提起法律诉讼。如果第三方针对您根据本政策开展的活动提起法律诉讼,我们将采取措施表明您的行为符合本政策。