1. مقدمة

يتمثل أحد الأهداف المهمة لـ Western Digital PSIRT (فريق الاستجابة لحوادث أمان المنتج) في حماية أمن المستخدمين النهائيين لمنتجات Western Digital. تشجع سياسة الكشف عن الثغرات الأمنية من Western Digital باحثي مدخلات الأمان والأشخاص عمومًا، للتصرف بحسن نية والمشاركة في البحث المتعلق عن الثغرات الأمنية والكشف عنها. إذا كنت تعتقد أنك اكتشفت ثغرة أمنية أو بيانات معرّضة للخطر أو مشكلات أمنية أخرى، فلا تتردد في التواصل معنا. تحدد هذه السياسة خطوات للإبلاغ عن الثغرات الأمنية إلينا، وتوضح تعريف Western Digital لحسن النية في سياق اكتشاف نقاط الثغرات الأمنية المحتملة والإبلاغ عنها، وتشرح ما يمكن أن يتوقعه الباحثون من Western Digital في المقابل.

2. التعريفات

1. نحن / لنا: في إطار هذه السياسة، تعني كلمة "نحن" جميع كيانات Western Digital وتشمل علاماتنا التجارية.
2. أنت / المُبلغ عن الثغرات الأمنية: فرد أو مؤسسة أو مجموعة محدودة تكشف عن تقرير الثغرات الأمنية.
3. نافذة السرية: إزاء قبولنا لتقرير الكشف عن الثغرات الأمنية من جانبك، فإن هدفنا هو إكمال أعمال الإصلاح وطرح الإصلاح في غضون 90 يومًا من الإقرار الأولي. إذا كانت هناك حاجة إلى الحصول على معلومات إضافية لتأكيد الكشف عن الثغرات الأمنية، فسنتصل بك. إذا لم نتلق ردًا بعد 3 محاولات، فقد نغلق القضية، لكننا سنسعد بأي مراسلات مستقبلية.
4. نشرات الأمان: يتم نشر نشرات الأمان الخاصة بنا هنا:
   https://www.westerndigital.com/support/productsecurity
5. قناة الإبلاغ الرسمية: قناة المراسلات للتواصل بشأن الكشف عن الثغرات الأمنية: PSIRT@wdc.com.
6. الإقرار الأولي: هذا هو التاريخ الذي نرد فيه بعد استلام تقريرك إلى PSIRT متضمنًا رقم الحالة وتاريخ الكشف لمدة 90 يومًا.

3. تعليمات الإبلاغ عن الثغرات الأمنية

للإبلاغ عن مشكلة تتعلق بالأمان تم العثور عليها في منتج أو خدمة تابعة لـ Western Digital، يُرجى إرسال التفاصيل عبر البريد الإلكتروني إلى قناة الإبلاغ الرسمية. قد تؤدي الرسائل المرسلة إلى أي عناوين بريد إلكتروني أخرى إلى تأخير الرد.

المعلومات المطلوبة:

• المنتج (المنتجات) المُحدَّد ورقم (أرقام) الإصدار؛ أو
• بالنسبة إلى الخدمة (أو الخدمات)، يُرجى تقديم تفاصيل الخدمة المحددة و/أو رابط URL يتضمن الطابع الزمني للمشكلة المُبلغ عنها.
• خطوات إعادة إنتاج المشكلة، بما في ذلك إثبات المفهوم (PoC)؛

موصى به:

• تقديم أي مراجع CWE ذات صلة، إذا كانت متوفِّرة؛
• سواءً كنت تعتقد أن الثغرة الأمنية قد تم الكشف عنها بالفعل أو معروفة لجهات خارجية.

يمكنك تشفير المعلومات قبل إرسالها باستخدام مفتاح PGP/GPG الخاص بنا.

4. الكشف عن الثغرات الأمنية المُنسّقة متعددة الأطراف

نتبع الإرشادات والممارسات الأولى لـ الكشف عن الثغرات الأمنية المُنسّقة متعددة الأطراف.

5. نطاق المنتجات والخدمات

نقبل تقارير الأمان المتعلقة بجميع منتجات Western Digital التي تعتمد على محركات الأقراص الثابتة (HDD) ومنصاتها، بالإضافة إلى الخدمات السحابية ذات الصلة، طالما أنها لا تزال ضمن فترة التحديثات والدعم. جميع المنتجات والخدمات التي تجاوزت فترة التحديثات أو الدعم لا تخضع لهذه السياسة الخاصة بالكشف عن الثغرات الأمنية.

6. خارج نطاق التغطية

عمليات فحص الثغرات الأمنية في المنتجات

• لا يقبل فريق PSIRT تقارير فحص الثغرات الأمنية على أجهزتنا ما لم تتضمن إثباتًا للمفهوم (PoC).

بالنسبة للتقارير المتعلقة بمنتجات Western Digital المعتمدة على وحدات التخزين الفلاشية، يُرجى الاطلاع على سياسة الكشف عن الثغرات الأمنية لدى SanDisk.

نرحب أيضًا بتقارير الثغرات الأمنية المتعلقة بموقعنا الإلكتروني، مثل western digital.com، ويُرجى إرسال هذه التقارير إلى websecurity@wdc.com.

الثغرات الأمنية في الويب المقبولة:

• الفئات العشر الأولى من الثغرات الأمنية وفقًا لـ OWASP
• الثغرات الأمنية ذات التأثير المُثبت

الثغرات الأمنية في الويب غير المقبولة:

• الثغرات النظرية
• الكشف عن معلومات غير حساسة
• الثغرات ذات التأثير المنخفض أو القابلية الضئيلة للاستغلال

7. التزاماتنا

عند التعامل معنا وفق هذه السياسة:

• نحن لا نقدم حاليًا أي برامج لمكافآت اكتشاف الثغرات، ولا نشارك في أي منها. نحن لا نحترم طلبات مدفوعات المكافآت أو المواد الترويجية أو الائتمان خارج عملية نشر نشرة الأمان الخاصة بنا.
• سنقوم مبدئيًا باستلام تقرير الثغرات الأمنية الخاص بك في غضون 3 أيام عمل من الاستلام، وسوف نقدم رقم تتبع.
• سنرسل تأكيدًا بقبول الثغرات الأمنية في غضون 30 يومًا من إقرارنا المبدئي، وسنقوم بتضمين الموعد النهائي المقترح للإصلاح. إذا لم نقبل التقرير، فسنقدم بإبداء الأسباب الخاصة بنا ويمكن اطِّلاعنا على المعلومات الجديدة حول التقرير.
• بمجرد تأكيد الثغرات الأمنية التي تم الإبلاغ عنها، سيعمل مهندسونا على تطبيق الإصلاح (الإصلاحات) المناسبة.
• يتعذّر من حين لآخر حل الثغرات الأمنية في غضون 90 يومًا من المخطط الزمني. إذا كانت هناك حاجة إلى وقت أطول من نافذة السرية العادية، فسنعمل معك لتمديد نافذة السرية أو ننصح باتّباع إجراء بخلاف ذلك. قد يعتمد القرار على:
  
  • المورّدون التمهيديون من ذوي الأطر الزمنية للقرار المختلفة عن الأطر الخاصة بنا.
  • التغييرات المعمارية الأساسية المطلوبة لمعالجة الثغرات الأمنية.
  • متطلبات التحقق المعقدة أو الممتدة الناتجة عن تغييرات منخفضة المستوى في البرامج الثابتة، مثل الثغرات الأمنية في البرامج الثابتة لمحركات الأقراص الصلبة.
• ننشر نشرات الأمان وفقًا لتقديرنا الخاص من أجل توفير معلومات الأمان لعملائنا والجمهور. سنقدم لك إقرارًا بالعثور على الثغرات الأمنية والإبلاغ عنها في نشرة الأمان وCVE ذات الصلة إذا:
  • كانت الثغرات الأمنية المُبلغ عنها تؤثر على منتج Western Digital المدعوم حاليًا،
  • كنا نقوم بإجراء تغيير في التعليمة البرمجية أو التكوين بناءً على المشكلة،
  • كنت أول شخص يُبلغ عن المشكلة،
  • كان يتم إجراء بحثك وفقًا لهذه السياسة، و
  • كنت توافق على الإقرار.
• لا ننشر استشارات بخصوص التحسينات الأمنية العامة وإصلاحات البرمجة الدفاعية التي ليس لها تأثير أمني مُثبت.

8. توقعاتنا

إزاء المشاركة في برنامج الكشف عن الثغرات الأمنية بحسن نية، نطلب منك ما يلي.

• التشغيل وفقًا للقواعد، بما في ذلك اتّباع هذه السياسة وأي اتفاقيات أخرى ذات صلة. إذا كان هناك أي تعارض بين هذه السياسة وأي شروط أخرى سارية، فتسري شروط هذه السياسة في المقام الأول.
• أبلغ عن أي ثغرات أمنية اكتشفتها على الفور.
• ابذل جهودًا مضنية لتجنب انتهاكات الخصوصية وضعف تجربة المستخدم وتعطيل أنظمة الإنتاج وإتلاف البيانات أثناء اختبار الأمان. على وجه الخصوص:
  
  • لا تسبب ضررًا محتملاً أو فعليًا لمستخدمينا أو أنظمتنا أو تطبيقاتنا، بما في ذلك من خلال الاختبارات المُعطلة مثل رفض الخدمة.
  • لا تستغل الثغرات الأمنية لعرض البيانات غير المصرّح بها أو إتلاف أي بيانات.
  • لا تُنفذ هجمات تستهدف الأشخاص والممتلكات ومراكز البيانات والشركاء والشركات التابعة لنا.
  • لا تقم بمحاولات هندسة اجتماعية أو تسيء عرض بطريقة أخرى تبعيتك أو تفويضك لأي من موظفينا أو مقاولينا أو الشركات التابعة لنا للوصول إلى أصولنا.
    
  • لا تنتهك أي قوانين أو تخرق أي اتفاقيات لاكتشاف الثغرات الأمنية.
    
• قم بإجراء بحث فقط في نطاق المنتج المحدد أعلاه ضمن نطاق المنتجات والخدمات.
• يمكنك إبلاغنا بالثغرات الأمنية فقط من خلال عملية الإبلاغ عن الثغرات الأمنية.
  
• احتفظ بسرية المعلومات المتعلقة بأي ثغرات أمنية اكتشفتها حتى نحل المشكلة ويتم نشر نشرة الأمان. لا تفصح عن المعلومات خارج نافذة السرية.
• إذا كانت الثغرات الأمنية توفر وصولاً غير مقصود إلى البيانات:
  
  • قم بالحد من كمية البيانات التي تصل إليها إلى الحد الأدنى المطلوب لإثبات إثبات المفهوم بشكل فعّال؛ و
  • توقف عن الاختبار وأرسل تقريرًا على الفور إذا ظهر لك أي بيانات مستخدم أثناء الاختبار، مثل معلومات التعريف الشخصية (PII) أو معلومات الرعاية الصحية الشخصية (PHI) أو بيانات بطاقة الائتمان أو معلومات الملكية.
• تفاعل فقط مع حسابات الاختبار التي تمتلكها أو الحسابات التي تحصل على إذن صريح للوصول إليها من صاحب الحساب.

9. إخلاء المسؤولية

قد نقوم بتحديث سياسة الإفصاح عن الثغرات الأمنية من حينٍ لآخر. يُرجى مراجعة هذه السياسة قبل إرسال تقارير الثغرات الأمنية. تخضع عمليات الكشف لإصدار هذه السياسة المنشور في وقت الإقرار المبدئي.

10. سجل التغيير

تاريخ النشر: 17 مارس 2025
الإصدار: 2.0

11. المراجع

تستند هذه السياسة إلى الإرشادات الواردة في وثائق ISO 29147 & 30111..
شكرًا لـ disclose.io على مخططهم ونصهم المُقدّم بموجب المشاع الإبداعي CC-0 نظرًا لما يتضمّنه من معلومات مفيدة تسهم في إنشاء VDP الخاص بنا.