Una priorità assoluta per VMware è mantenere la fiducia che i nostri clienti ci hanno accordato. Siamo consapevoli che, se i nostri prodotti non soddisfano i più elevati standard di sicurezza, i clienti non potranno utilizzarli con tranquillità. Per raggiungere questo obiettivo, il VMware Security Response Center (vSRC) gestisce un programma per identificare le vulnerabilità, rispondere a esse e risolverle. Questa pubblicazione documenta le nostre policy per affrontare le vulnerabilità nei prodotti VMware per aziende e consumatori (on-premise), descrive in quali circostanze emetteremo un identificatore CVE e VMware Security Advisory (VMSA), spiega come segnalare una vulnerabilità nel codice gestito da VMware, definisce la terminologia utilizzata nelle nostre pubblicazioni e le azioni correttive e documenta il nostro impegno verso pratiche in linea con i principi Safe Harbor.
Se ritieni di aver individuato una vulnerabilità in un prodotto o servizio VMware, invia un'e-mail privata all'indirizzo security@vmware.com. Ti consigliamo di utilizzare l'e-mail crittografata per inviare la segnalazione. La nostra chiave PGP pubblica è disponibile nella pagina kb.vmware.com/s/article/1055.
VMware segue le linee guida per la divulgazione responsabile delle vulnerabilità, in base alle quali il ricercatore segnala direttamente a VMware in forma privata la vulnerabilità scoperta nei prodotti e nei servizi VMware. Ciò consente a VMware di risolvere la vulnerabilità nel prodotto e nei servizi interessati prima che qualsiasi parte divulghi pubblicamente i dettagli della vulnerabilità/dell'accaduto. VMware può riconoscere l'attività del ricercatore come indicato nelle linee guida per la divulgazione responsabile delle vulnerabilità per l'individuazione e la segnalazione delle vulnerabilità.
Se sei un cliente VMware, ti consigliamo di creare una richiesta di assistenza con il team Global Support Services di VMware.
Ricezione e riconoscimento
Triage
Analisi
Correzione
Comunicazione e riconoscimento
Le pubblicazioni VMware utilizzano il sistema CVSS (Common Vulnerability Scoring System) standard di settore oltre alla terminologia sulla gravità qualitativa allineata agli standard FIRST
Valutazione qualitativa VMware | Valutazione qualitativa FIRST | Punteggio CVSS |
| Critica | Critica | 9.0 - 10.0 |
| Importante | Alta | 7.0 - 8.9 |
| Moderata | Media | 4.0 - 6.9 |
| Bassa | Bassa | 0.1 - 3.9 |
| Nessuna | Nessuna | 0.0 |
Nota: La valutazione qualitativa VMware può cambiare e non dipende solo dal punteggio CVSS.
VMware è CVE Numbering Authority (CNA) ed è autorizzata ad assegnare gli identificatori CVE alle vulnerabilità che interessano i prodotti entro il nostro ambito specifico e concordato.
VMware applica un identificatore CVE per una vulnerabilità quando soddisfa tutti i seguenti criteri:
VMware dichiara le vulnerabilità nei VMware Security Advisories. I VMSA includono le seguenti informazioni:
Non perdere gli aggiornamenti sulle più recenti vulnerabilità
VMware definisce una soluzione alternativa come una modifica della configurazione supportata per gestire i vettori di attacco attualmente noti per una determinata vulnerabilità. VMware analizza le possibili soluzioni alternative per le vulnerabilità di gravità critica documentate nei VMSA.
Qualsiasi attività condotta in modo coerente con questa policy sarà considerata condotta autorizzata e VMware non avvierà azioni legali contro di te. Se una terza parte avvia un'azione legale contro di te in riferimento alle attività svolte nell'ambito di questa policy, adotteremo le misure per far sapere che le tue azioni sono state condotte in conformità a questa policy.
