La Product Security Incident Response Team (PSIRT) d’AMD est une équipe mondiale qui gère la réception, les examens et la coordination interne des informations sur les vulnérabilités de sécurité liées aux produits AMD.

La PSIRT d'AMD est le point central de l'écosystème en ce qui concerne la sécurité des produits, comprenant des chercheurs en sécurité, des pairs du secteur, des organisations gouvernementales et des partenaires, pour signaler les problèmes de sécurité potentiels sur les produits AMD.

Cette équipe collabore avec les équipes d'ingénierie et des unités commerciales d'AMD pour examiner les rapports et, si nécessaire, identifier le plan de réponse approprié.

Maintenir la communication avec les parties prenantes internes et externes est un rôle clé du processus de réponse aux incidents d'AMD.

À la réception d'un rapport, l'équipe PSIRT détermine les étapes suivantes en fonction de la gravité, de l'impact et de la criticité du problème.

L’équipe PSIRT, en collaboration avec diverses équipes d’AMD, effectue les opérations suivantes :

  • Enregistre le problème.
  • Consulte les unités commerciales et les équipes de produits appropriées pour analyse.
    • Un bulletin sera publié lorsque jugé nécessaire.
  • Consulte les équipes appropriées pour vérifier si le problème est une vulnérabilité de sécurité.
    • Il se peut que le bulletin doive être mis à jour avec le statut et l'impact.
    • Déterminer l'approche de notification pour les parties prenantes.
  • Extension de l'analyse en fonction de l'examen initial et vérification si nécessaire.
  • Si une correction est jugée nécessaire : collabore avec les unités commerciales et les équipes de développement de produits afin de déterminer l'approche et les plans.
  • AMD entend informer les clients concernés du statut du problème par le biais d'une communication directe et/ou ciblée ou de la publication de bulletins de sécurité publics.
  • Lorsqu'elle le jugera approprié, AMD fournira des détails tels que le score et le vecteur de base CVSS (Common Vulnerability Scoring System : système de notation de vulnérabilité), une référence à l'identificateur CVE (Common Vulnerabilities and Exposures : vulnérabilités et expositions communes) attribué et éventuellement des liens supplémentaires vers d'autres informations pertinentes.
  • Travaillez avec les équipes de développement et de produit pour hiérarchiser les actions de correction, le cas échéant, dans les flux de travail.
  • Mettez à jour les bulletins avec des versions de correctif et des étapes d'atténuation appropriées si nécessaire.
  • Partagez les résultats entre les équipes d'AMD afin de minimiser les problèmes futurs et participez aux améliorations de processus et de développement en cours à l'aide des constatations.