1. 简介

Western Digital PSIRT（产品安全事故响应团队）的一个重要目标是保护 Western Digital 产品最终用户的安全。《Western Digital 漏洞披露政策》鼓励安全研究人员和公众提供反馈意见，秉诚行事，参与负责任的漏洞研究和披露。如果您确信您发现了漏洞、数据披露或其他安全问题，欢迎您向我们报告。本政策概述了向我们报告漏洞的步骤，阐明了 Western Digital 在发现和报告潜在漏洞方面遵守诚信原则的定义，并解释了研究人员可从 Western Digital 获得的回馈。

2. 定义

1. 保密期限： 如果我们接受您的漏洞报告，我们的目标是在初始确认后 90 天内完成补救工作并发布修复措施。如果需要其他信息来确认此漏洞，我们将与您联系。如果我们在 3 次尝试联系您后仍未收到您的回复，我们可能会关闭此案例，但仍欢迎您未来与我们继续联络。
2. 安全公告： 我们的安全公告发布在此处：
   https://www.westerndigital.com/support/productsecurity
3. 您/漏洞报告人：披露漏洞报告的个人、组织或有限公司。
4. 我们：在本政策中，“我们”指的是所有 Western Digital 人员，涵盖我们的品牌，包括：Western Digital、WD、闪迪、闪迪大师、HGST 和 G-Technology。
5. 官方报告渠道：用于传达漏洞披露的通信渠道：PSIRT@wdc.com。
6. 初始确认： 这是我们在收到您向 PSIRT 提交的带有案例编号的报告和 90 天披露日期后作出回复的日期。

3. 漏洞报告说明

要报告您认为自己发现了 Western Digital 产品或服务相关安全问题，请通过电子邮件将您的发现详细信息发送至我们的官方报告渠道。发送到任何其他电子邮件地址的消息可能会导致响应延迟。
如果可能，请提供以下信息：

• 受影响的具体产品或服务，包括任何相关版本号；
• 问题影响详情；
• 任何有助于重现或诊断问题的信息，包括概念验证 (PoC)（如果有）；以及
• 您是否认为该漏洞已被公开披露或已为第三方所知。请先使用 PGP/GPG 密钥对信息进行加密，然后再发送。

请先使用 PGP/GPG 密钥对信息进行加密，然后再发送。

4. 多方协调漏洞披露

我们遵循第一个关于多方漏洞协调和披露的准则和做法。如果研究人员想要报告多方漏洞，但希望获得与完成该流程或协调多个漏洞方相关的帮助，可以联系我们。如果我们确认接受该漏洞报告，我们可能会提供指导并充当协调人。

5. 产品和服务范围

仍处于当前和有限更新阶段的所有产品，包括以下提及的产品系列。我们还欢迎您在所有网页和云服务上的漏洞报告。此漏洞披露政策不涵盖所有已超过生命周期截止日期的产品和服务。以下是当前范围内的产品列表：

• 网络附加存储：My Cloud Home、My Cloud、ibi Personal Mobile Storage：My Passport Wireless 和 iXpand
• 专业存储：G-DRIVE、G-RAID
• WD BLACK
• 外置存储：My Book、My Passport、WD EasyStore 和 WD Elements
• 内置硬盘、固态硬盘和嵌入式闪存
• 桌面和移动应用程序：EdgeRover 和 SanDisk Memory Zone
• USB 闪存盘
• 移动硬盘 
• 存储卡

有关产品支持生命周期的更多信息，请参阅以下内容：
闪迪：https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology：https://support.g-technology.com/downloads.aspx?lang=en
WD 产品：https://www.westerndigital.com/zh-cn/support/software/software-life-cycle-policy

6. 我们的承诺

根据此政策，在与我们合作时：

• 我们目前不提供或不参加与反馈问题相关的奖励计划。在安全公告发布流程之外，我们不会接受有关奖励付款、促销材料或费用抵免的请求。
• 我们将在收到漏洞报告后的 3 个工作日内初步确认您的漏洞报告，并提供跟踪编号。
• 我们将在初始确认后 30 天内发送漏洞接受确认，我们将包括建议的修复期限。如果我们不接受该报告，我们将提供理由，并且将继续接收关于该报告的新资料。
• 确认所报告的漏洞后，我们的工程师将着手开发适当的修复程序。
• 有时，存在无法在 90 天时间内解决的漏洞。如果需要的时间超过正常保密期限，我们将与您合作延长保密期限或提供其他建议。解决方案可能取决于：
  
  • 与我们的解决方案时间范围不同的上游供应商。
  • 解决此漏洞所需的大量架构更改。
  • 由于低级固件更改（如硬盘或固态硬盘固件漏洞）导致的复杂或扩展验证要求。
• 我们自行决定发布安全公告，以便向我们的客户和公众提供安全信息。如果出现以下情况，我们将针对您在相关安全公告和 CVE 上的漏洞发现和报告提供确认：
  • 报告的漏洞会影响当前受支持的 Western Digital 产品；
  • 我们根据该问题更改代码或配置；
  • 您是第一个报告该问题的人；
  • 您的研究遵从本政策，以及
  • 您同意此确认。

7. 我们的期望

在秉持诚信态度参与我们的漏洞披露计划时，我们会询问您以下问题。

• 遵守规则，包括遵守本政策和任何其他相关协议。如果本政策与任何其他适用条款之间存在任何不一致之处，则以本政策的条款为准。
• 立即报告您发现的任何漏洞。
• 在安全测试期间，尽一切努力避免侵权隐私、用户体验质量降低、生产系统中断和数据破坏的问题。特别是：
  
  • 不要对我们的用户、系统或应用程序造成潜在或实际损害，包括通过拒绝服务等破坏性测试。
  • 不要利用漏洞查看未经授权的数据或损坏任何数据。
  • 不要攻击我们的人员、财产、数据中心、合作伙伴和附属公司。
  • 不要进行社会工程尝试，或以其他方式将您的从属关系或授权误传给我们的任何员工、承包商或附属公司以访问我们的资产。
    
  • 不要为了发现漏洞而违反任何法律或违反任何协议。
    
• 仅在上述产品和服务范围下定义的产品范围内进行研究。
• 仅通过漏洞报告流程向我们传达安全漏洞。
  
• 在我们解决问题并发布安全公告之前，请对您发现的任何漏洞相关信息保密。不要在保密期限之外披露信息。
• 如果因漏洞而意外提供了数据的访问权限，请执行以下操作：
  
  • 将您访问的数据量限制在有效演示概念验证所需的最低限度；以及
  • 如果您在测试期间遇到任何用户数据（如个人身份信息 (PII)、个人医疗信息 (PHI)、信用卡数据或专有信息），请停止测试并立即提交报告。
• 仅与您拥有的测试帐户或您拥有帐户持有人明确许可的帐户进行交互。

8. 免责声明

我们可能会不时更新漏洞披露政策。请在提交漏洞报告之前查看此政策。披露将受初始确认时发布的本政策版本的监管。

9. 更改历史记录

发布日期：2021 年 10 月 15 日
版本：1.1

10. 参考资料

本政策基于 ISO 文档 29147 和 30111 中提供的指南。
感谢在 Creative Commons CC-0 下提供的 disclose.io 大纲和文本，因为它对创建 VDP 非常有帮助。