支持 Product Security

Western Digital 漏洞披露政策

1. 简介

Western Digital PSIRT(产品安全事故响应团队)的一个重要目标是保护 Western Digital 产品最终用户的安全。《Western Digital 漏洞披露政策》鼓励安全研究人员和公众提供反馈意见,秉诚行事,参与负责任的漏洞研究和披露。如果您确信您发现了漏洞、数据披露或其他安全问题,欢迎您向我们报告。本政策概述了向我们报告漏洞的步骤,阐明了 Western Digital 在发现和报告潜在漏洞方面遵守诚信原则的定义,并解释了研究人员可从 Western Digital 获得的回馈。

2. 定义

  1. 我们: 在本政策中,“我们”指的是所有 Western Digital 人员,涵盖我们的品牌。
  2. 您/漏洞报告人:披露漏洞报告的个人、组织或有限公司。
  3. 保密期限:如果我们接受您的漏洞报告,我们的目标是在初始确认后 90 天内完成补救工作并发布修复措施。如果需要其他信息来确认此漏洞,我们将与您联系。如果我们在 3 次尝试联系您后仍未收到您的回复,我们可能会关闭此案例,但仍欢迎您未来与我们继续联络。
  4. 安全公告:我们的安全公告发布于此处:
    https://www.westerndigital.com/support/productsecurity
  5. 官方报告渠道:用于传达漏洞披露的通信渠道:PSIRT@wdc.com
  6. 初始确认:这是我们在收到您向 PSIRT 提交的带有案例编号的报告和 90 天披露日期后作出回复的日期。

3. 漏洞报告说明

要报告您认为自己发现了 Western Digital 产品或服务相关安全问题,请通过电子邮件将您的发现详细信息发送至我们的官方报告渠道。发送到任何其他电子邮件地址的消息可能会导致响应延迟。

所需信息:

  • 具体产品及版本号;或
  • 对于服务,提供特定服务和/或 URL(包括所报告问题的时间戳);以及
  • 重现问题的步骤,包括概念验证 (PoC);

建议:

  • 提供任何相关的 CWE 参考(如有);
  • 您是否认为该漏洞已被公开披露或已为第三方所知。

您可以先使用 PGP/GPG 密钥对信息进行加密,然后再发送。

4. 多方协调漏洞披露

我们遵循第一个关于多方漏洞协调和披露的准则和做法。

5. 产品和服务范围

我们接受针对所有尚在更新/支持周期内的 Western Digital HDD 产品、平台产品及相关云服务的安全漏洞报告。所有已停止更新/支持的产品和服务均不在本漏洞披露政策的适用范围内。

6. 不在范围内

产品漏洞扫描

  • 如果没有概念验证,PSIRT 不接受针对我们设备的漏洞扫描报告。

有关基于 Western Digital 闪存的产品报告,请参阅闪迪漏洞披露政策

我们也欢迎有关我们互联网业务(即 westerndigital.com)的漏洞报告,请将此类报告发送至 websecurity@wdc.com

可接受的网络漏洞:

  • OWASP 十大漏洞类别
  • 已证明会造成影响的其他漏洞

不可接受的网络漏洞:

  • 理论性漏洞
  • 非敏感数据的信息披露
  • 影响较小/被利用可能性较低的漏洞

7. 我们的承诺

根据此政策,在与我们合作时:

  • 我们目前不提供,也不参与任何漏洞赏金计划。在安全公告发布流程之外,我们不会接受有关奖励付款、促销材料或费用抵免的请求。
  • 我们将在收到漏洞报告后的 3 个工作日内初步确认您的漏洞报告,并提供跟踪编号。
  • 我们将在初始确认后 30 天内发送漏洞接受确认,我们将包括建议的修复期限。如果我们不接受该报告,我们将提供理由,并且将继续接收关于该报告的新资料。
  • 确认所报告的漏洞后,我们的工程师将着手开发适当的修复程序。
  • 有时,存在无法在 90 天时间内解决的漏洞。如果需要的时间超过正常保密期限,我们将与您合作延长保密期限或提供其他建议。解决方案可能取决于:
    • 与我们的解决方案时间范围不同的上游供应商。
    • 解决此漏洞所需的大量架构更改。
    • 由于低级固件更改(如硬盘固件漏洞)导致的复杂或扩展验证要求。
  • 我们自行决定发布安全公告,以便向我们的客户和公众提供安全信息。如果出现以下情况,我们将针对您在相关安全公告和 CVE 上的漏洞发现和报告提供确认:
    • 报告的漏洞会影响当前受支持的 Western Digital 产品;
    • 我们根据该问题更改代码或配置;
    • 您是第一个报告该问题的人;
    • 您的研究遵从本政策,以及
    • 您同意此确认。
  • 我们不会针对那些没有被证明具有安全影响的一般性安全改进和防御性编程修复发布安全公告。

8. 我们的期望

在秉持诚信态度参与我们的漏洞披露计划时,我们会询问您以下问题。

  • 遵守规则,包括遵守本政策和任何其他相关协议。如果本政策与任何其他适用条款之间存在任何不一致之处,则以本政策的条款为准。
  • 立即报告您发现的任何漏洞。
  • 在安全测试期间,尽一切努力避免侵权隐私、用户体验质量降低、生产系统中断和数据破坏的问题。特别是:
    • 不要对我们的用户、系统或应用程序造成潜在或实际损害,包括通过拒绝服务等破坏性测试。
    • 不要利用漏洞查看未经授权的数据或损坏任何数据。
    • 不要攻击我们的人员、财产、数据中心、合作伙伴和附属公司
    • 不要进行社会工程尝试,或以其他方式将您的从属关系或授权误传给我们的任何员工、承包商或附属公司以访问我们的资产。
    • 不要为了发现漏洞而违反任何法律或违反任何协议。
  • 仅在上述产品和服务范围下定义的产品范围内进行研究。
  • 仅通过漏洞报告流程向我们传达安全漏洞。
  • 在我们解决问题并发布安全公告之前,请对您发现的任何漏洞相关信息保密。不要在保密期限之外披露信息。
  • 如果因漏洞而意外提供了数据的访问权限,请执行以下操作:
    • 将您访问的数据量限制在有效演示概念验证所需的最低限度;以及
    • 如果您在测试期间遇到任何用户数据(如个人身份信息 (PII)、个人医疗信息 (PHI)、信用卡数据或专有信息),请停止测试并立即提交报告。
  • 仅与您拥有的测试帐户或您拥有帐户持有人明确许可的帐户进行交互。

9. 免责声明

我们可能会不时更新漏洞披露政策。请在提交漏洞报告之前查看此政策。披露将受初始确认时发布的本政策版本的监管。

10. 更改历史记录

发布日期:2025 年 3 月 17 日
版本:2.0

11. 参考资料

本政策基于 ISO 文档 29147 和 30111 中提供的指南。
感谢在 Creative Commons CC-0 下提供的 disclose.io 大纲和文本,因为它对创建 VDP 非常有帮助。

比较