概述

Arm 產品安全性事件應變

AI Summary

安全性不僅限於設計。由於漏洞可能出現在任何時間點,因此對安全性主管而言,可能造成停機時間、資料遺失及法規外洩等顯而易見的風險。Arm 產品安全性事件應變團隊 (PSIRT) 提供可信任結構化方式,在數十億個部署裝置上管理前述風險。


Arm PSIRT 可偵測、分析及管理 Arm 技術中的漏洞。Arm PSIRT 確保以負責任、及時及協調的方式揭露各種威脅,協助安全性主管確信能夠及早偵測威脅、採用一致的處理方式,並公開透明地傳達資訊。這有助於讓客戶、合作夥伴及監管機構減少意外事件、加速緩解並加強保證。


這對您代表的意義如下:


  • Arm 會持續監控產品和生態系的各種報告,讓您確信可快速識別漏洞並以一致方式處理。
  • 透過經協調的合作夥伴應變方式降低風險曝險,並在公開揭露前以負責態度分享漏洞資訊。
  • 您可以與內部利害關係人及監管機構分享明確且透明的最新資訊,由 Arm 以 CVE 編號管理者 (CNA) 的身分支援提供透明目錄。
  • Arm PSIRT 參與 Arm 廣大的安全性開發生命週期提供持續保護,確保將安全性整合至整個生命週期。
PSIRT 流程

Arm 四階段 PSIRT 流程

Arm 流程不僅能夠解決問題,還能在每個階段讓安全性主管充滿信心。


  1. 探索:透過內部研究、合作夥伴報告及社群提交等方式找出潛在的安全性弱點。Arm PSIRT 將在兩個工作天內確認收到漏洞報告,並為每項提交提供獨特的識別碼。

  2. 分析:評估對客戶、合作夥伴及生態系的影響範圍、嚴重性及潛在影響。Arm PSIRT 會與任何外部提報者合作,確保生態系有時間部署緩解措施。

  3. 解決:Arm PSIRT 會與內部團隊及外部合作夥伴進行協調,以開發、測試及驗證已確認漏洞的修補程式或緩解措施。

  4. 傳達:Arm PSIRT 致力於在公開揭露前後,以例行且負責任的方式向合作夥伴傳達指引,以確保在生態系中部署緩解措施。

Arm 安全性中心會在公開揭露時發佈安全性公告,並附上 CVE 識別碼,以提供可信任的文件用於法規遵循及報告。


產品安全性事件應變流程資訊圖表

協調漏洞揭露

值得信任的負責任揭露

Arm 遵循協調漏洞揭露 (CVD) 最佳實務。我們會在公開分享資訊之前,盡可能以安全及負責任的方式將漏洞資訊傳達給合作夥伴,讓他們有時間準備及應用緩解措施。


合作夥伴在管制期間,可於必要時與特定生態系利害關係人秘密分享修補程式,以便在公開揭露前及時採取緩解措施。這種協調方法可在透明度與安全性之間取得平衡,確保分享資訊不會增加風險。

安全性生命週期

Arm PSIRT 是全方位安全性生命週期的一部分

Arm PSIRT 是 Arm 廣大安全性策略的一部分,與安全性開發生命週期 (SDL)、內部紅隊及安全性研究人員共同合作。以上各項職務攜手合作,確保讓安全性融入產品設計到長期支援等各個階段。


Arm 產品安全性保證 (PSA) 團隊進行的獨立驗證,可確保穩健的實務作法並能一致應用。這有助於讓安全性主管相信 Arm 技術不僅具備優異效能,還能對抗不斷演變的威脅。

社群協作

與安全性專家及社群互動交流

協作可建立最強大的安全性,而維持強大的合作夥伴關係,則可讓 Arm PSIRT 達到最強大的狀態,協助確保報告及揭露實務符合合作夥伴及廣大 Arm 生態系的需求與期望。


Arm 積極參與全球安全性標準及最佳實務,合作對象包括:


Arm 身為 CVE 編號管理者 (CNA),會對影響產品的漏洞指派 CVE ID,協助促成整個產業的透明度及一致性。

聯絡我們

是否需要回報 Arm 技術的可疑漏洞?請造訪 Arm 開發人員網站安全性中心取得詳細的回報指引。

Arm 開發人員網站安全性中心