關於 VMware 安全性回應中心
VMware 的優先要務之一,在於不辜負客戶對我們的信賴。我們深知,除非產品符合最高的安全性標準,否則客戶將無法安心無虞地部署。為了達成此一目標,VMware 安全性回應中心 (vSRC) 設有相關方案,可識別、回應和因應弱點。本文的目的,在於記錄我們用以解決 VMware 企業和消費者產品 (地端) 中弱點的原則、說明我們將於哪些情況下發出 CVE 識別碼和 VMware 安全性摘要報告 (VMSA)、解釋如何報告 VMware 所維護程式碼的弱點、定義我們在發佈資訊和修正行動中使用的詞彙,並闡述我們力圖實踐安全港措施的承諾。
如何報告弱點
向 VMware 安全性回應中心報告弱點的流程
如果您找到 VMware 產品或服務中的弱點,歡迎傳送私人電子郵件至 security@vmware.com,告知我們這項資訊。建議您使用加密電子郵件送出報告。如需我們的公開 PGP 金鑰,請參閱 kb.vmware.com/s/article/1055。
VMware 致力於依循負責任的弱點揭露指引,由研究人員透過私人管道,向 VMware 直接報告在 VMware 產品和服務中新發現的弱點。唯有如此,VMware 才有機會在任一方公開揭露弱點 / 惡意探索詳細資訊之前,著手解決存在於受影響產品和服務中的弱點。VMware 會依循負責任的弱點揭露指引,將弱點探索和報告的功勞歸功於研究人員。
如果您是 VMware 客戶,建議您建立 VMware 全球支援服務團隊支援請求 (SR)。
瞭解我們的流程
VMware 安全性回應中心處理可疑弱點的流程
步驟 1
收到和認可
步驟 2
分級
步驟 3
調查
步驟 4
修復
步驟 5
溝通和致謝
瞭解嚴重性和
常見弱點與暴露
VMware 嚴重性定義
VMware 發佈資訊會採用業界標準的通用弱點評分系統 (CVSS),以及符合 FIRST 標準的質化嚴重性術語。
VMware 質化等級 | FIRST 質化等級 | CVSS 分數 |
| 重大 | 重大 | 9.0 - 10.0 |
| 重要 | 高 | 7.0 - 8.9 |
| 中等 | 中 | 4.0 - 6.9 |
| 低 | 低 | 0.1 - 3.9 |
| 無 | 無 | 0.0 |
附註:VMware 質化等級可能發生變更,且不會使用 CVSS 做為唯一的依據。
常見弱點與暴露 (CVE) 識別碼:
VMware 為經核准的 CVE 編號管理者 (CNA),有權在明確界定的範圍內,為影響產品的弱點指派 CVE 識別碼。
VMware 可為符合下列條件的弱點,核發 CVE 識別碼:
- 該弱點來自 VMware 所維護程式碼中的非預期行為。
- 該弱點明顯損害機密性、完整性或可用性。
- 該弱點存在於 VMware 產品生命週期對照表所列之一項或多項目前受支援的 VMware 產品中,或該弱點存在於 VMware 所維護且目前受支援的開放原始碼專案中。
VMware 安全性摘要報告 (VMSA)
VMware 會透過 VMware 安全性摘要報告揭露弱點,當中包含下列資訊:
- 質化嚴重性資訊
- CVSS 分數
- 目前所支援的受影響產品套件
- 弱點說明
- 目前已知的攻擊媒介
- 修復資訊
- 重大嚴重性弱點的因應措施 (若有)
- 附註,包含是否發生惡意探索的相關確認
一手掌握最新弱點
因應措施
VMware 會定義因應措施,透過受支援的就地設定變更,因應特定弱點的目前已知攻擊媒介。針對 VMware 安全性摘要報告中記錄在案的重大嚴重性弱點,VMware 將負責調查潛在的因應措施。
安全港
凡是依循本原則所採取的行動,都將視為經授權的行為,VMware 將不會對您採取任何法律行動。針對您在本原則之規範下所從事的相關活動,如有第三方採取法律行動,我們將執行必要步驟,以告知對方您的行動合乎本原則之規範。