Реализуйте преимущества любого облака и ускорьте предоставление современных приложений вместе с VMware Cloud.
Ускорение работы современных приложений с помощью виртуализации сети и безопасности для WAN, ЦОД и облака.
Обеспечьте персоналу удобные условия работы в любой точке и в любое время.
Обеспечьте безопасность инфраструктуры при использовании любых приложений, облаков и устройств.
Конкретные решения для вашей платформы приложений, облачной инфраструктуры и архитектуры безопасности.
Глобальная экосистема партнеров VMware помогает предприятиям разобраться в облаках.
Создание, использование, контроль, подключение, защита приложений в любой точке с цифровой платформой VMware.
Компания VMware прилагает много усилий, чтобы создать надежные продукты для выполнения наиболее важных процессов в организациях заказчиков. Мы понимаем, что если наши продукты не будут соответствовать самым высоким стандартам безопасности, заказчики не смогут уверенно их развертывать. В этой Политике VMware в отношении решения проблем безопасности изложены обязательства компании по устранению возможных уязвимостей в наших продуктах, чтобы заказчики могли быть уверены в своевременном устранении таких проблем.
Уязвимости, которыми могут воспользоваться не прошедшие проверку подлинности злоумышленники через Интернет или через нарушение изоляции гостевой ОС или ОС узла. Эксплуатация уязвимости без вмешательства пользователя приводит к полному нарушению конфиденциальности, целостности и доступности пользовательских данных и (или) ресурсов обработки. Уязвимость может эксплуатироваться для распространения вирусной программы самотиражирования или выполнения произвольного кода между виртуальными машинами и (или) операционной системой узла.
Это уязвимости, которые не относятся к категории критических, но при вмешательстве пользователей или злоумышленников, прошедших проверку подлинности, их эксплуатация приводит к полному нарушению конфиденциальности и (или) целостности пользовательских данных и/или ресурсов обработки. К этой категории также относятся те уязвимости, которые могут привести к полному нарушению доступности при эксплуатации злоумышленником, не прошедшим проверку подлинности, через Интернет или путем нарушения изоляции виртуальных машин.
Уязвимости, уровень опасности которых в значительной степени снижен из-за конфигурации или сложности эксплуатации, но в определенных сценариях развертывания их эксплуатация может привести к нарушению конфиденциальности, целостности или доступности пользовательских данных и (или) ресурсов обработки.
Все другие проблемы, влияющие на безопасность. Уязвимости, эксплуатация которых считается чрезвычайно сложной задачей или окажет минимальное воздействие.
VMware рекомендует пользователям, которым стало известно об уязвимости в продуктах VMware, обращаться в VMware и сообщать подробные сведения об уязвимости. Компания VMware установила адрес электронной почты, который следует использовать, чтобы сообщить об уязвимости. Присылайте описания обнаруженных уязвимостей по адресу security@vmware.com. Укажите сведения о конфигурации программного и аппаратного обеспечения вашей системы, чтобы мы могли воспроизвести проблему, о которой сообщается.
Примечание. Мы рекомендуем использовать зашифрованные сообщения электронной почты. Наш общедоступный ключ PGP находится на странице kb.vmware.com/s/article/1055.
Компания VMware надеется, что пользователи, обнаружившие новую уязвимость, свяжутся с нами в частном порядке, поскольку в интересах наших заказчиков, чтобы компания VMware могла расследовать и подтвердить предполагаемую уязвимость до того, как о ней станет известно всем.
В случае обнаружения уязвимостей в сторонних программных компонентах, используемых в продуктах VMware, также следует уведомить VMware, как описано выше.
Компания VMware получает частные отчеты об уязвимостях через свой почтовый ящик от заказчиков и от персонала VMware. VMware также отслеживает уязвимости системы безопасности в публичных репозиториях для выявления новых уязвимостей, которые могут повлиять на один или несколько наших продуктов.
После получения отчета об уязвимости специалисты VMware изучат его и определят, какие продукты затронуты и каков уровень опасности. Компания VMware предоставит сотруднику, сообщившему об уязвимости, обратную связь и поможет устранить проблему.
Если отчет об уязвимости общедоступный и не существует исправления, VMware подтвердит отчет, опубликовав статью в базе знаний. Эта статья будет содержать ссылки на общедоступные источники, в которых сообщается об уязвимости. При возможности в статье будут также описаны действия, с помощью которых пользователи могут защитить систему VMware от эксплуатации уязвимости.
Компания VMware выпускает исправления для обнаруженных уязвимостей. Исправление может быть предоставлено в следующих формах:
Когда становится доступно исправление или рекомендации по устранению для уязвимости, компания VMware уведомляет заказчиков одним из следующих способов:
Примечание. Рекомендации VMware по обеспечению безопасности публикуются на странице www.vmware.com/ru/security/advisories и рассылаются подписчикам рассылки уведомлений VMware об обеспечении безопасности. Чтобы подписаться на эту рассылку, введите адрес электронной почты в поле «Регистрация для получения рекомендаций по безопасности» на странице www.vmware.com/ru/security/advisories.
Политики жизненного цикла продуктов VMware определяют сроки поддержки ПО, чтобы заказчики могли принимать долгосрочные решения по управлению изменениями и определять стратегии выпуска. Заказчикам следует ознакомиться с политикой жизненного цикла используемого продукта.
Время реагирования компании VMware зависит от уровня опасности обнаруженной уязвимости.
Компания VMware незамедлительно приступит к созданию исправления или рекомендаций по устранению проблемы. VMware предоставит заказчикам исправление или рекомендации по решению проблемы в кратчайшие коммерчески оправданные сроки.
Компания VMware предоставит исправление при следующем плановом обслуживании или выпуске обновления продукта, а в некоторых случаях VMware выпустит исправление.
Компания VMware предоставит исправление в следующем выпуске новой или дополнительной версии продукта.