Arm 產品安全性的系統性方法
維護全球資料安全無虞,可說是運算領域未來十年最艱困的技術挑戰之一。Arm 所做的一切都將安全性視為重要要求;對於提供給合作夥伴及廣大生態系的產品而言,安全性是關鍵的品質指標之一。
我們採用的方法可透過以下領域呈現:
Arm 首重安全性措施,藉由量身打造的安全性開發生命週期 (SDL),在建構產品的每個階段納入安全性流程。這樣我們就能在產品上市之前識別及減輕可能風險。
Arm 產品安全性不僅止於開發階段。我們的產品安全性事件應變團隊 (PSIRT) 會持續監控產品的潛在弱點、管理解決方案,並以負責任的態度向合作夥伴及生態系揭露安全性漏洞。
我們的產品安全性保證工作,會持續推動改善 SDL 及事件應變流程,並提供獨立保證 Arm 產品安全性流程的效果。
我們積極與合作夥伴、組織及大學合作,持續維持最佳實務和安全性漏洞研究的領先地位。這樣的協同合作及知識分享,讓我們更能夠預測新的威脅,並實行有效的安全性策略。
Arm 產品安全性
「隨著網路威脅情勢日趨複雜,以健全方法推動產品安全性,顯然是維持數位生態系穩定的關鍵所在。Arm 將此銘記於心。我們在產品開發的過程中導入安全性,首先從 Arm 架構開始著手,一直延續到建立產品設計及產品上市之後的階段。這證明我們不僅高度重視自家產品的安全性,也同樣重視合作夥伴及廣大的生態系。」
Arm 安全性開發生命週期
在整個開發生命週期將安全性導入產品之中,是減少安全性風險的重要關鍵。Arm 提供各式各樣的產品,並量身打造各種方法,涵蓋架構、硬體及軟體的設計、開發和驗證階段。
Arm 確保負責各項產品的工程師,都以量身打造的 SDL 流程接受訓練,並享有領先業界的工具執行威脅建模及掌握安全性需求。我們在整個產品開發生命週期中,會實施減少風險的措施,範圍涵蓋設計、驗證及文件記錄階段。
Arm 產品安全性事件應變流程
Arm 產品安全性事件應變團隊 (PSIRT) 會依據明確定義的流程,處理產品安全性漏洞的相關事宜。所有可能的產品安全性漏洞,都會透過分為四階段的方法進行管理:
- 探索
- 分析
- 解決
- 傳達
Arm 與研究人員、合作夥伴及技術廠商合作,確保分享安全性漏洞資訊,盡可能降低遭到刺探利用的風險。我們遵循協調漏洞揭露 (CVD) 實務,協助合作夥伴及消費者在安全性漏洞揭露時有效加以應變。
Arm 設置專屬的安全性漏洞研究團隊,與 PSIRT 合作分析及因應安全性事件。此團隊也研究全新的安全性領域,以預防未來的安全性漏洞。
歡迎前往 Arm 開發人員網站的安全性中心,透過更多資訊瞭解我們的安全性須知,以及產品安全性事件應變流程。
需要通報 Arm 產品安全事件嗎?請聯絡:psirt@arm.com
「產品安全性可說是 Arm 文化不可或缺的一部分。我們以產品安全性保證能力進行監督,確保在整個開發及上市後階段,都將安全性視為優先要務。我們採用以資料為導向的方法持續精進產品及流程,讓 Arm 具備頂尖的安全性最佳實務。」
安全性社群
Arm 是 CVE 編號管理者 (CNA),範圍涵蓋 Arm 品牌產品和技術,以及由 Arm 管理的開放原始碼專案。這項身分讓我們能夠在自己的管轄範圍內,將新發現的安全性漏洞指派 CVE ID,以便提供給生態系及時與結構化的資訊。
Arm 是產學社群的成員,合作推動發展最先進的安全性技術,例如參與 IEEE、IETF 及 MITRE 等組織內部的工作小組,協助處理軟硬體及系統安全性。Arm 加入前述社群,因此能與遍佈全球的安全性專家合作、分享知識及實行最佳實務,以確保產品開發遵循最高的安全性標準,同時也回饋給廣大的社群。
品質主管 Richard Wilson
「Arm 對品質及產品安全性所做的承諾,是產品開發生命週期不可或缺的一部分。Arm 透過品質政策承諾遵循合作夥伴的安全性要求,持續改善產品及服務以符合期望。我們的 ISO 9001 品質認證涵蓋產品安全性,證明我們持續不懈追求卓越的決心。」