Política de respuesta y corrección
de vulnerabilidades externas de VMware

VMware trabaja para crear productos y servicios en los que nuestros clientes puedan confiar para las operaciones más importantes de sus empresas. Esta política de respuesta de seguridad de VMware explica el proceso que se sigue en VMware Security Response Center.

Notificar vulnerabilidad CONSEJOS SEGURIDAD VMWARE

Acerca de VMware Security Response Center

Una de las principales prioridades de VMware es mantener la confianza que nuestros clientes depositan en nosotros. Sabemos que solo si nuestros productos cumplen los más altos estándares de seguridad, los clientes podrán utilizarlos con confianza. Para lograrlo, VMware Security Response Center (vSRC) cuenta con un programa para identificar las vulnerabilidades, responder a ellas y abordarlas. Esta publicación documenta nuestras políticas para abordar las vulnerabilidades en los productos empresariales y de consumo de VMware (locales), describe en qué circunstancias emitiremos un identificador CVE y una recomendación de seguridad de VMware (VMSA), explica cómo notificar una vulnerabilidad en el código mantenido por VMware, define la terminología que se utiliza en nuestras publicaciones y acciones correctoras, y documenta nuestro compromiso con las prácticas de entorno seguro.

Cómo notificar una vulnerabilidad

Proceso de notificación de vulnerabilidades a VMware Security Response Center

Si cree que ha detectado una vulnerabilidad en un producto o servicio de VMware, háganoslo saber enviando un correo electrónico privado a security@vmware.com. Le sugerimos utilizar un correo electrónico cifrado para enviar sus notificaciones. Puede encontrar nuestra clave PGP pública en kb.vmware.com/s/article/1055.

VMware sigue directrices de revelación responsable de vulnerabilidades, en las que el investigador notifica de forma privada a VMware la vulnerabilidad recién descubierta en los productos y servicios de VMware. Esto permite a VMware abordar la vulnerabilidad de los productos y servicios afectados antes de que alguna de las partes revele públicamente los detalles de la vulnerabilidad. VMware puede dar crédito al investigador por haber seguido las directrices de divulgación responsable de vulnerabilidades para la detección y notificación de vulnerabilidades.

Si es cliente de VMware, le recomendamos que cree una solicitud de soporte (SR) con el equipo de servicios de soporte global de VMware.

NOTIFICAR VULNERABILIDADES

Conozca nuestro proceso

Proceso de VMware Security Response Center para gestionar posibles vulnerabilidades

Paso 1

Recibir y confirmar

Paso 2

Evaluar

Paso 3

Investigar

Paso 4

Corregir

Paso 5

Comunicar y reconocer

NOTIFICAR VULNERABILIDAD

Información sobre la gravedad
y las vulnerabilidades y exposiciones habituales

Definiciones de gravedad de VMware

Las publicaciones de VMware utilizan el sistema común de valoración de vulnerabilidades (CVSS) estándar del sector, además de la terminología de gravedad cualitativa que se ajusta a los estándares

de FIRST

Calificación cualitativa de VMware	Calificación cualitativa FIRST	Valoración de CVSS
Crítica	Crítica	9,0-10,0
Importante	Alta	7,0-8,9
Moderada	Media	4,0-6,9
Baja	Baja	0,1-3,9
Ninguna	Ninguna	0,0

Note: La valoración cualitativa de VMware puede cambiar y no depende solo de la puntuación de CVSS.

Identificadores de vulnerabilidades y exposiciones comunes (CVE):

Como autoridad de numeración CVE (CNA) autorizada, VMware puede asignar identificadores CVE a las vulnerabilidades que afectan a los productos dentro de nuestro ámbito acordado.

VMware emitirá un identificador CVE para una vulnerabilidad cuando cumpla todos los criterios siguientes:

La vulnerabilidad es el resultado de un comportamiento inesperado del código mantenido por VMware.
La vulnerabilidad compromete de forma cuantificable la confidencialidad, la integridad o la disponibilidad.
La vulnerabilidad existe en uno o más productos de VMware actualmente compatibles documentados en la Matriz del ciclo de vida de los productos de VMware o en un proyecto de código abierto mantenido por VMware y actualmente admitido.

Recomendaciones de seguridad de VMware

VMware revela vulnerabilidades en las Recomendaciones de seguridad de VMware. Los VMSA incluyen la información siguiente:

Información sobre la gravedad cualitativa
Valoración CVSS
Suites de productos afectadas que son compatibles actualmente
Descripciones de las vulnerabilidades
Vectores de ataque conocidos actualmente
Información de la corrección
Soluciones alternativas para vulnerabilidades críticas (si las hay)
Notas con confirmación de si la explotación se está produciendo de forma incontrolada

Manténgase al día sobre las vulnerabilidades más recientes

BLOG DE SEGURIDAD DE VMWARE TWITTER DE SEGURIDAD DE VMWARE

Soluciones alternativas

VMware define una solución alternativa como un cambio de configuración in situ compatible que aborda los vectores de ataque conocidos actualmente para una vulnerabilidad determinada. VMware estudiará posibles soluciones alternativas para las vulnerabilidades críticas documentadas en VMSA.

Entorno seguro

Todas las actividades realizadas de acuerdo con esta política se considerarán conductas autorizadas y VMware no iniciará ninguna acción legal en su contra. Si un tercero inicia una acción legal en su contra en relación con las actividades realizadas en el marco de esta política, tomaremos medidas para informar de que sus acciones se llevaron a cabo de conformidad con esta política.

Notifique la vulnerabilidad a nuestro equipo

CONTACTAR

Realidad del entorno multi-cloud actual: caos en la nube

El 87% de las empresas utilizan dos o más entornos de nube para ejecutar sus aplicaciones. El entorno multi-cloud acelera la transformación digital, pero también genera complejidad y riesgos, lo que resulta en una realidad caótica para muchas organizaciones.

Domine el caos en la nube con VMware Cross-Cloud Services

Anywhere Workspace

Plataforma de aplicaciones

Infraestructura de nube y perimetral

Gestión de la nube

Hipervisor de escritorio

Red y seguridad

Ejecute VMware en cualquier nube, entorno y lugar

En nubes híbridas y públicas

En nubes privadas y locales

Soluciones

Anywhere Workspace Acceda a cualquier aplicación desde cualquier dispositivo con seguridad

Plataforma de aplicaciones Cree y utilice aplicaciones nativas de nube

Infraestructura de nube Ejecute aplicaciones empresariales en cualquier sitio

Gestión de la nube Automatice y optimice las aplicaciones y las nubes

Infraestructura perimetral Active el perímetro multinube

Red Permita la conectividad para las aplicaciones y las nubes

Seguridad Proteja las aplicaciones y las nubes

Por sector

Soluciones de IA de VMware

Para los clientes

Para los partners

Colabore con partners en beneficio de los clientes

Herramientas y formación

Servicios

Soporte

Marketplace

Blogs y comunidades

Clientes

Eventos

Política de respuesta y correcciónde vulnerabilidades externas de VMware

Acerca de VMware Security Response Center

Cómo notificar una vulnerabilidad

Conozca nuestro proceso

Paso 1

Paso 2

Paso 3

Paso 4

Paso 5

Información sobre la gravedady las vulnerabilidades y exposiciones habituales

Definiciones de gravedad de VMware

Identificadores de vulnerabilidades y exposiciones comunes (CVE):

Recomendaciones de seguridad de VMware

Soluciones alternativas

Entorno seguro

Notifique la vulnerabilidad a nuestro equipo

Anywhere Workspace
Acceda a cualquier aplicación desde cualquier dispositivo con seguridad

Plataforma de aplicaciones
Cree y utilice aplicaciones nativas de nube

Infraestructura de nube
Ejecute aplicaciones empresariales en cualquier sitio

Gestión de la nube
Automatice y optimice las aplicaciones y las nubes

Infraestructura perimetral
Active el perímetro multinube

Red
Permita la conectividad para las aplicaciones y las nubes

Seguridad
Proteja las aplicaciones y las nubes

Política de respuesta y corrección
de vulnerabilidades externas de VMware

Información sobre la gravedad
y las vulnerabilidades y exposiciones habituales