Arm 產品安全性
「隨著網路威脅情勢日趨複雜,以健全方法推動產品安全性,顯然是維持數位生態系穩定的關鍵所在。Arm 將此銘記於心。我們在產品開發的過程中導入安全性,首先從 Arm 架構開始著手,一直延續到建立產品設計及產品上市之後的階段。這證明我們不僅高度重視自家產品的安全性,也同樣重視合作夥伴及廣大的生態系。」
Arm 安全性開發生命週期
在整個開發生命週期將安全性導入產品之中,是減少安全性風險的重要關鍵。Arm 提供各式各樣的產品,並量身打造各種方法,涵蓋架構、硬體及軟體的設計、開發和驗證階段。
Arm 確保負責各項產品的工程師,都以量身打造的 SDL 流程接受訓練,並享有領先業界的工具執行威脅建模及掌握安全性需求。我們在整個產品開發生命週期中,會實施減少風險的措施,範圍涵蓋設計、驗證及文件記錄階段。
Arm 產品安全性事件應變流程
Arm 產品安全性事件應變團隊 (PSIRT) 會依據明確定義的流程,處理產品安全性漏洞的相關事宜。所有可能的產品安全性漏洞,都會透過分為四階段的方法進行管理:
- 探索
- 分析
- 解決
- 傳達
Arm 與研究人員、合作夥伴及技術廠商合作,確保分享安全性漏洞資訊,盡可能降低遭到刺探利用的風險。我們遵循協調漏洞揭露 (CVD) 實務,協助合作夥伴及消費者在安全性漏洞揭露時有效加以應變。
Arm 設置專屬的安全性漏洞研究團隊,與 PSIRT 合作分析及因應安全性事件。此團隊也研究全新的安全性領域,以預防未來的安全性漏洞。
歡迎前往 Arm 開發人員網站的安全性中心,透過更多資訊瞭解我們的安全性須知,以及產品安全性事件應變流程。
需要通報 Arm 產品安全事件嗎?請聯絡:psirt@arm.com
「產品安全性可說是 Arm 文化不可或缺的一部分。我們以產品安全性保證能力進行監督,確保在整個開發及上市後階段,都將安全性視為優先要務。我們採用以資料為導向的方法持續精進產品及流程,讓 Arm 具備頂尖的安全性最佳實務。」
安全性社群
Arm 是 CVE 編號管理者 (CNA),範圍涵蓋 Arm 品牌產品和技術,以及由 Arm 管理的開放原始碼專案。這項身分讓我們能夠在自己的管轄範圍內,將新發現的安全性漏洞指派 CVE ID,以便提供給生態系及時與結構化的資訊。
Arm 是產學社群的成員,合作推動發展最先進的安全性技術,例如參與 IEEE、IETF 及 MITRE 等組織內部的工作小組,協助處理軟硬體及系統安全性。Arm 加入前述社群,因此能與遍佈全球的安全性專家合作、分享知識及實行最佳實務,以確保產品開發遵循最高的安全性標準,同時也回饋給廣大的社群。
品質主管 Richard Wilson
「Arm 對品質及產品安全性所做的承諾,是產品開發生命週期不可或缺的一部分。Arm 透過品質政策承諾遵循合作夥伴的安全性要求,持續改善產品及服務以符合期望。我們的 ISO 9001 品質認證涵蓋產品安全性,證明我們持續不懈追求卓越的決心。」
