الدعم

سياسة الكشف عن الثغرات الأمنية من Western Digital

1. مقدمة

يتمثل أحد الأهداف المهمة لـ Western Digital PSIRT (فريق الاستجابة لحوادث أمان المنتج) في حماية أمن المستخدمين النهائيين لمنتجات Western Digital. تشجع سياسة الكشف عن الثغرات الأمنية من Western Digital باحثي مدخلات الأمان والأشخاص عمومًا، للتصرف بحسن نية والمشاركة في البحث المتعلق عن الثغرات الأمنية والكشف عنها. إذا كنت تعتقد أنك اكتشفت ثغرة أمنية أو بيانات معرّضة للخطر أو مشكلات أمنية أخرى، فلا تتردد في التواصل معنا. تحدد هذه السياسة خطوات للإبلاغ عن الثغرات الأمنية إلينا، وتوضح تعريف Western Digital لحسن النية في سياق اكتشاف نقاط الثغرات الأمنية المحتملة والإبلاغ عنها، وتشرح ما يمكن أن يتوقعه الباحثون من Western Digital في المقابل.

2. التعريفات

  1. نافذة السرية: إزاء قبولنا لتقرير الكشف عن الثغرات الأمنية من جانبك، فإن هدفنا هو إكمال أعمال الإصلاح وطرح الإصلاح في غضون 90 يومًا من الإقرار الأولي. إذا كانت هناك حاجة إلى الحصول على معلومات إضافية لتأكيد الكشف عن الثغرات الأمنية، فسنتصل بك. إذا لم نتلق ردًا بعد 3 محاولات، فقد نغلق القضية، لكننا سنسعد بأي مراسلات مستقبلية.
  2. نشرات الأمان: يتم نشر نشرات الأمان الخاصة بنا هنا:
    https://www.westerndigital.com/support/productsecurity
  3. أنت / المُبلغ عن الثغرات الأمنية: فرد أو مؤسسة أو مجموعة محدودة تكشف عن تقرير الثغرات الأمنية.
  4. نحن / لنا: إزاء تطبيق هذه السياسة، تعني "نحن" جميع من يعمل في Western Digital وتغطي علاماتنا التجارية، بما في ذلك: Western Digital وWD وSanDisk وSanDisk Professional وHGST وG-Technology.
  5. قناة الإبلاغ الرسمية: قناة المراسلات للتواصل بشأن الكشف عن الثغرات الأمنية: PSIRT@wdc.com.
  6. الإقرار الأولي: هذا هو التاريخ الذي نرد فيه بعد استلام تقريرك إلى PSIRT متضمنًا رقم الحالة وتاريخ الكشف لمدة 90 يومًا.

3. تعليمات الإبلاغ عن الثغرات الأمنية

للإبلاغ عن مشكلة تتعلق بالأمان تم العثور عليها في منتج أو خدمة تابعة لـ Western Digital، يُرجى إرسال التفاصيل عبر البريد الإلكتروني إلى قناة الإبلاغ الرسمية. قد تؤدي الرسائل المرسلة إلى أي عناوين بريد إلكتروني أخرى إلى تأخير الرد.
عندما يكون ذلك ممكنًا، يُرجى تضمين ما يلي:

  • المنتج (المنتجات) المحددة أو الخدمة (الخدمات) المتضررة، بما في ذلك أي أرقام إصدار ذات صلة؛
  • تفاصيل حول تأثير المشكلة؛
  • أي معلومات يمكن أن تساعد في إعادة إنتاج أو تشخيص المشكلة، بما في ذلك إثبات المفهوم (PoC) إذا كانت متوفرة؛ و
  • سواءً كنت تعتقد أن الثغرة الأمنية قد تم الكشف عنها بالفعل أو معروفة لجهات خارجية. يُرجى استخدام مفتاح PGP / GPG لتشفير المعلومات قبل إرسالها.

يُرجى استخدام مفتاح PGP / GPG لتشفير المعلومات قبل إرسالها.

4. الكشف عن الثغرات الأمنية المُنسّقة متعددة الأطراف

نتبع الإرشادات والممارسات الأولى لـ الكشف عن الثغرات الأمنية المُنسّقة متعددة الأطراف. يمكن للباحثين الذين يرغبون في الإبلاغ عن ثغرة أمنية متعددة الأطراف ولكنهم يرغبون في المساعدة في التنقُّل في العملية أو تنسيق العديد من أطراف الثغرات الأمنية الوصول إلينا. قد نقدم توجيهات ونتصرف كمنسّق إذا أكدنا قبول الثغرة الأمنية.

5. نطاق المنتجات والخدمات

جميع المنتجات التي لا تزال في مرحلة التحديثات الحالية والمحدودة بما في ذلك مجموعات المنتجات المذكورة أدناه. نسعد أيضًا بتقارير الثغرات الأمنية في جميع صفحات الويب والخدمات السحابية الخاصة بنا. لا تغطي سياسة الكشف عن الثغرات الأمنية كافة المنتجات والخدمات التي تجاوزت نهاية عمرها الافتراضي. هذه قائمة المنتجات الموجودة حاليًا في النطاق:

  • التخزين المتصل بالشبكة: My Cloud Home، My Cloud، ibi Personal Mobile Storage: My Passport Wireless وiXpand
  • تخزين بمستوى احترافي: G-DRIVE، G-RAID
  • WD BLACK
  • التخزين الخارجي: My Book وMy Passport وWD EasyStore وWD Elements
  • محركات الأقراص الداخلية، محركات الأقراص ذات الحالة الصلبة & ذاكرة الفلاش المُضمَّنة
  • تطبيقات سطح المكتب والجوّال: EdgeRover وSanDisk Memory Zone
  • محركات أقراص USB المحمولة
  • محركات الأقراص المحمولة 
  • بطاقات الذاكرة


انظر أدناه للحصول على مزيد من المعلومات حول دورة حياة دعم منتجاتنا:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
منتجات WD: https://www.westerndigital.com/ar-sa/support/software/software-life-cycle-policy

6. التزاماتنا

عند التعامل معنا وفق هذه السياسة:

  • لا نقدم حاليًا أو نشارك في برامج مكافآت مكتشفي الأخطاء الدائمة. نحن لا نحترم طلبات مدفوعات المكافآت أو المواد الترويجية أو الائتمان خارج عملية نشر نشرة الأمان الخاصة بنا.
  • سنقوم مبدئيًا باستلام تقرير الثغرات الأمنية الخاص بك في غضون 3 أيام عمل من الاستلام، وسوف نقدم رقم تتبع.
  • سنرسل تأكيدًا بقبول الثغرات الأمنية في غضون 30 يومًا من إقرارنا المبدئي، وسنقوم بتضمين الموعد النهائي المقترح للإصلاح. إذا لم نقبل التقرير، فسنقدم بإبداء الأسباب الخاصة بنا ويمكن اطِّلاعنا على المعلومات الجديدة حول التقرير.
  • بمجرد تأكيد الثغرات الأمنية التي تم الإبلاغ عنها، سيعمل مهندسونا على تطبيق الإصلاح (الإصلاحات) المناسبة.
  • يتعذّر من حين لآخر حل الثغرات الأمنية في غضون 90 يومًا من المخطط الزمني. إذا كانت هناك حاجة إلى وقت أطول من نافذة السرية العادية، فسنعمل معك لتمديد نافذة السرية أو ننصح باتّباع إجراء بخلاف ذلك. قد يعتمد القرار على:
    • المورّدون التمهيديون من ذوي الأطر الزمنية للقرار المختلفة عن الأطر الخاصة بنا.
    • التغييرات المعمارية الأساسية المطلوبة لمعالجة الثغرات الأمنية.
    • متطلبات التحقق المعقدة أو الممتدة الناتجة عن تغييرات البرامج الثابتة منخفضة المستوى مثل محرك الأقراص الصلب أو ثغرات البرامج الثابتة في محرك الأقراص ذي الحالة الصلبة الأمنية.
  • ننشر نشرات الأمان وفقًا لتقديرنا الخاص من أجل توفير معلومات الأمان لعملائنا والجمهور. سنقدم لك إقرارًا بالعثور على الثغرات الأمنية والإبلاغ عنها في نشرة الأمان وCVE ذات الصلة إذا:
    • كانت الثغرات الأمنية المُبلغ عنها تؤثر على منتج Western Digital المدعوم حاليًا،
    • كنا نقوم بإجراء تغيير في التعليمة البرمجية أو التكوين بناءً على المشكلة،
    • كنت أول شخص يُبلغ عن المشكلة،
    • كان يتم إجراء بحثك وفقًا لهذه السياسة، و
    • كنت توافق على الإقرار.

7. توقعاتنا

إزاء المشاركة في برنامج الكشف عن الثغرات الأمنية بحسن نية، نطلب منك ما يلي.

  • التشغيل وفقًا للقواعد، بما في ذلك اتّباع هذه السياسة وأي اتفاقيات أخرى ذات صلة. إذا كان هناك أي تعارض بين هذه السياسة وأي شروط أخرى سارية، فتسري شروط هذه السياسة في المقام الأول.
  • أبلغ عن أي ثغرات أمنية اكتشفتها على الفور.
  • ابذل جهودًا مضنية لتجنب انتهاكات الخصوصية وضعف تجربة المستخدم وتعطيل أنظمة الإنتاج وإتلاف البيانات أثناء اختبار الأمان. على وجه الخصوص:
    • لا تسبب ضررًا محتملاً أو فعليًا لمستخدمينا أو أنظمتنا أو تطبيقاتنا، بما في ذلك من خلال الاختبارات المُعطلة مثل رفض الخدمة.
    • لا تستغل الثغرات الأمنية لعرض البيانات غير المصرّح بها أو إتلاف أي بيانات.
    • لا تُنفذ هجمات تستهدف الأشخاص والممتلكات ومراكز البيانات والشركاء والشركات التابعة لنا.
    • لا تقم بمحاولات هندسة اجتماعية أو تسيء عرض بطريقة أخرى تبعيتك أو تفويضك لأي من موظفينا أو مقاولينا أو الشركات التابعة لنا للوصول إلى أصولنا.
    • لا تنتهك أي قوانين أو تخرق أي اتفاقيات لاكتشاف الثغرات الأمنية.
  • قم بإجراء بحث فقط في نطاق المنتج المحدد أعلاه ضمن نطاق المنتجات والخدمات.
  • يمكنك إبلاغنا بالثغرات الأمنية فقط من خلال عملية الإبلاغ عن الثغرات الأمنية.
  • احتفظ بسرية المعلومات المتعلقة بأي ثغرات أمنية اكتشفتها حتى نحل المشكلة ويتم نشر نشرة الأمان. لا تفصح عن المعلومات خارج نافذة السرية.
  • إذا كانت الثغرات الأمنية توفر وصولاً غير مقصود إلى البيانات:
    • قم بالحد من كمية البيانات التي تصل إليها إلى الحد الأدنى المطلوب لإثبات إثبات المفهوم بشكل فعّال؛ و
    • توقف عن الاختبار وأرسل تقريرًا على الفور إذا ظهر لك أي بيانات مستخدم أثناء الاختبار، مثل معلومات التعريف الشخصية (PII) أو معلومات الرعاية الصحية الشخصية (PHI) أو بيانات بطاقة الائتمان أو معلومات الملكية.
  • تفاعل فقط مع حسابات الاختبار التي تمتلكها أو الحسابات التي تحصل على إذن صريح للوصول إليها من صاحب الحساب.

8. إخلاء المسؤولية

قد نقوم بتحديث سياسة الإفصاح عن الثغرات الأمنية من حينٍ لآخر. يُرجى مراجعة هذه السياسة قبل إرسال تقارير الثغرات الأمنية. تخضع عمليات الكشف لإصدار هذه السياسة المنشور في وقت الإقرار المبدئي.

9. سجل التغيير

تاريخ النشر: 2021-10-15
الإصدار: 1.1

10. المراجع

تستند هذه السياسة إلى الإرشادات الواردة في وثائق ISO 29147 & 30111..
شكرًا لـ disclose.io على مخططهم ونصهم المُقدّم بموجب المشاع الإبداعي CC-0 نظرًا لما يتضمّنه من معلومات مفيدة تسهم في إنشاء VDP الخاص بنا.