关于 VMware 安全响应中心

VMware 的首要任务是保持客户对我们的信任。我们认识到,除非我们的产品满足最高安全标准,否则客户将无法自信地使用这些产品。为了实现这一目标,VMware 安全响应中心 (vSRC) 制定了一项计划来识别、响应和处理漏洞。本出版物记录了我们处理 VMware 企业级产品和消费级产品(本地部署)中漏洞的政策,介绍了我们将在什么情况下发布 CVE 标识和 VMware 安全公告 (VMSA),说明如何报告 VMware 所维护代码中的漏洞,定义我们的出版物中使用的术语以及纠正措施,并记录我们对安全港实践的承诺。

如何报告漏洞

向 VMware 安全响应中心报告漏洞的流程

如果您认为自己在 VMware 产品或服务中发现了漏洞,请向我们发送个人邮件:security@vmware.com。建议您使用加密电子邮件提交报告。您可以通过以下网址找到我们的 PGP 公钥:kb.vmware.com/s/article/1055

VMware 遵循负责任的漏洞披露准则,即,研究人员直接向 VMware 私下报告 VMware 产品和服务中新发现的漏洞。这使 VMware 能够在任何一方公开披露漏洞/利用详细信息之前处理受影响产品和服务中的漏洞。在漏洞发现和报告方面,VMware 可能将该次发现归功于遵循负责任漏洞披露准则的研究人员。

如果您是 VMware 客户,建议您向 VMware 全球支持服务团队提交 SR。

了解我们的流程

VMware 安全响应中心处理可疑漏洞的流程
第 1 步

接收并确认

第 2 步

分类

第 3 步

调查

第 4 步

修复

第 5 步

沟通与归功

了解严重性
以及常见漏洞和暴露

VMware 严重性定义

除了符合 FIRST 标准的定性的严重性术语,VMware 出版物还利用行业标准“通用漏洞评分系统”(CVSS)

VMware 定性评级

FIRST 定性评级

CVSS 评分
严重
严重9.0 - 10.0
重要7.0 - 8.9
中等
4.0 - 6.9
0.1 - 3.9


0.0

注意:VMware 定性评级可能会发生变化,并且不仅仅取决于 CVSS 评分。

常见漏洞和暴露 (CVE) 标识:

作为经批准的CVE 编号机构(CNA),VMware 有权为影响我们明确商定的不同范围内的产品的漏洞分配 CVE 标识。

当漏洞满足以下所有条件时,VMware 应为其发布 CVE 标识:

VMware 安全公告 (VMSA)

VMware 在 VMware 安全公告中披露漏洞。VMSA 中必须包含以下信息:

  • 定性的严重性信息
  • CVSS 评分
  • 当前受支持的受影响产品套件
  • 漏洞描述
  • 当前已知的攻击途径
  • 修复信息
  • 严重性为“严重”的漏洞的解决方法(如果可能)
  • 说明是否存在漏洞利用的确认信息

及时了解最新漏洞

解决方法

VMware 将解决方法定义为受支持的就地配置更改,用于消除给定漏洞的当前已知攻击途径。VMware 将调查 VMSA 中记录的严重性为“严重”的漏洞的潜在解决方法。

安全港

以符合本政策的方式开展的任何活动都将被视为授权行为,VMware 不会对您提起法律诉讼。如果第三方针对您根据本政策开展的活动提起法律诉讼,我们将采取措施表明您的行为符合本政策。 

向我们的团队报告漏洞