1. 簡介

保護 Western Digital 產品最終使用者的安全是 Western Digital PSIRT (產品安全事件應對團隊) 的重要目標。Western Digital 漏洞披露政策鼓勵安全研究人員和公眾提供回饋意見，本著誠信的原則開展負責任的漏洞研究和披露。如果您認為您發現了漏洞、洩露的資料或其他安全問題，我們希望聽到您的反饋意見。該政策向我們概述了報告漏洞的步驟，澄清了 Western Digital 在發現和報告潛在漏洞方面對誠信的定義，並解釋了研究人員預期可以從 Western Digital 獲得什麼回報。

2. 定義

1. 保密期： 如果我們接受您的漏洞報告，我們就會確立完成修復工作這一的目標，並在最初確認後 90 天內發佈修復。如果需要其他資訊來確認漏洞，我們會與您聯絡。如果我們在 3 次聯絡嘗試後沒有收到回復，我們可能會關閉案例，但我們仍歡迎您未來與我們聯絡。
2. 安全佈告： 我們的安全佈告張貼於此處：
   https://www.westerndigital.com/support/productsecurity
3. 您/漏洞報告者：披露漏洞報告的個人、組織或有限群組。
4. 我們：在本政策內，「我們」表示 Western Digital 並涵蓋我們的所有品牌，包括：Western Digital、WD、SanDisk、SanDisk Professional、HGST 和 G-Technology。
5. 官方報告渠道：用於漏洞披露通訊的通訊渠道：PSIRT@wdc.com。
6. 最初確認： 這是我們收到您提交給 PSIRT 的報告的回復日期，報告中包含案例編號和 90 天披露日期。

3. 漏洞報告說明

要報告您認為在 Western Digital 產品或服務中發現的安全問題，請透過電子郵件將您發現的詳細資訊發送至官方報告渠道。發送到任何其他電子郵件地址的訊息可能會導致回復延遲。
如果可能，請隨附以下資訊：

• 受影響的具體產品或服務 (包括任何相關的版本號)；
• 與此問題所造成影響相關的詳細內容；
• 任何有助於對問題予以重現或診斷的資訊 (如果有概念證明 [PoC]，請包含此項資訊)；以及
• 您是否認為此漏洞已得到公開披露，或者第三方已知曉此漏洞。傳送報告問題的電子郵件之前，請使用我們的 PGP/GPG 金鑰對資訊進行加密。

傳送報告問題的電子郵件之前，請使用我們的 PGP/GPG 金鑰對資訊進行加密。

4. 多方協調漏洞披露

我們遵循有關多方漏洞協調和披露的 FIRST 準則和做法。希望報告多方漏洞，但需要在過程中獲得幫助或協調多個弱勢方的研究人員可以與我們聯絡。如果我們確認接受漏洞報告，我們會提供指導並充當協調者。

5. 產品和服務範圍

所有仍處於當前和有限更新階段的產品，包括以下提到的產品系列。我們也十分樂意接受有關網頁和雲端服務的漏洞報告。本漏洞披露政策不涵蓋所有使用壽命結束的產品和服務。此為目前仍處於政策範圍的產品列表：

• 網路連接儲存裝置：My Cloud Home、My Cloud、ibi 個人儲存裝置：My Passport Wireless 和 iXpand
• 專業級儲存裝置：G-DRIVE、G-RAID
• WD Black
• 外接式儲存裝置：My Book、My Passport、WD EasyStore 和 WD Elements
• 內接硬碟、SSD 和嵌入式快閃記憶體
• 桌面行動程式和行動應用程式：EdgeRover 和 SanDisk Memory Zone
• USB 隨身碟
• 可攜式硬碟 
• 記憶卡

請參閱下方網頁瞭解有關我們產品支援生命週期的更多資訊：
SanDisk：https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology：https://support.g-technology.com/downloads.aspx?lang=en
WD 產品：https://www.westerndigital.com/zh-tw/support/software/software-life-cycle-policy

6. 我們的承諾

我們在根據此政策開展合作時做出以下承諾：

• 我們目前未提供也未參與任何常駐挑錯獎勵計畫。我們不接受不符合我們的安全佈告發佈流程的獎勵支付、宣傳材料或信用請求。
• 我們將在收到您的漏洞報告的 3 個工作天內最初確認，並提供追蹤編號。
• 我們會在最初確認後 30 天內發送漏洞接收確認，並會在其中添加建議的修復截止期限。如果我們不接受報告，我們會提供理由，並且我們也會繼續接收有關該報告的新資訊。
• 確認報告的漏洞後，我們的工程師會進行適當的修復工作。
• 有時可能存在 90 天內無法解決的漏洞。如果需要比常規保密期更長的時間，我們會與您合作延長保密期或提供其他建議。解決方案視以下因素而定：
  
  • 上游供應商的解決方案時間範圍與我們不同。
  • 解決該漏洞所需的重大架構設計更改。
  • 由於低層級韌體更改 (例如硬碟或 SSD 韌體漏洞) 導致的複雜或擴展的驗證要求。
• 我們自定決定發佈安全佈告，以便向我們的客戶和公眾提供安全資訊。如果出現以下情況，我們將在相關安全佈告和 CVE 上為您提供發現和報告漏洞的確認資訊：
  • 報告的漏洞影響當前受支援的 Western Digital 產品，
  • 我們根據問題修改代碼或組態，
  • 您是第一個報告此問題的人，
  • 您的研究是根據本政策進行的，並且
  • 您同意確認。

7. 我們的預期

為了誠信地參與我們的漏洞披露計畫，我們向您提出以下要求。

• 遵守規則，包括遵循以下政策和任何其他相關合約。如果本政策與任何其他適用條款有任何不一致之處，則以本政策條款為準。
• 立即報告您發現的任何漏洞。
• 盡一切努力避免在安全測試過程期間侵犯隱私、降低使用者體驗、中斷生產系統以及資料遺失。特別注意：
  
  • 不要對我們的使用者、系統或應用程式造成潛在或實際損害，包括透過拒絕服務等破壞性測試造成損害。
  • 不要利用漏洞查看未經授權的資料或破壞任何資料。
  • 不要執行針對我們的人員、財產、資料中心、合作夥伴和關係企業的攻擊。
  • 不要為存取我們的資產而進行社交工程嘗試，或以任何其他方式歪曲您與我們的任何員工、承包商或關係企業的附屬關係或授權。
    
  • 不要為了發現漏洞而違反任何法律或合約。
    
• 僅在上述產品和服務範圍內定義的產品範圍內進行研究。
• 僅透過我們的漏洞報告流程向我們傳送安全漏洞通訊。
  
• 在我們解決問題並發佈安全佈告之前，請您對發現的任何漏洞的資訊保密。請勿在保密期披露資訊。
• 如果漏洞提供了對資料的意外存取權限：
  
  • 將您存取的資料量限制在有效演示概念證明所需的最低限度；並且
  • 如果您在測試期間遇到任何使用者資料，例如個人身分資訊 (PII)、個人醫療保健資訊 (PHI)、信用卡資料或專有資訊，請立即停止測試並提交報告。
• 僅與您擁有的測試帳戶或帳戶持有人明確允許的帳戶進行互動。

8. 免責聲明

我們可能會不時更新漏洞披露政策。請在提交漏洞報告前檢閱此政策。披露將受最初確認時公佈的本政策版本的約束。

9. 變更歷史

已發佈：2021-10-15
版本：1.1

10. 參考

本政策以 ISO 文件 29147 和 30111 所載之準則為依據。
感謝 disclose.io 在 Creative Commons CC-0 下提供的大綱和文本，這對我們建立 VDP 十分有幫助。