1. 簡介

保護 Western Digital 產品最終使用者的安全是 Western Digital PSIRT (產品安全事件應對團隊) 的重要目標。Western Digital 漏洞披露政策鼓勵安全研究人員和公眾提供回饋意見，本著誠信的原則開展負責任的漏洞研究和披露。如果您認為您發現了漏洞、洩露的資料或其他安全問題，我們希望聽到您的反饋意見。該政策向我們概述了報告漏洞的步驟，澄清了 Western Digital 在發現和報告潛在漏洞方面對誠信的定義，並解釋了研究人員預期可以從 Western Digital 獲得什麼回報。

2. 定義

1. 我們： 在本政策內，「我們」表示 Western Digital 並涵蓋我們的所有品牌。
2. 您/漏洞報告者：披露漏洞報告的個人、組織或有限群組。
3. 保密期：如果我們接受您的漏洞報告，我們就會確立完成修復工作這一的目標，並在最初確認後 90 天內發佈修復。如果需要其他資訊來確認漏洞，我們會與您聯絡。如果我們在 3 次聯絡嘗試後沒有收到回復，我們可能會關閉案例，但我們仍歡迎您未來與我們聯絡。
4. 安全佈告：我們的安全公告發布在此處：
   https://www.westerndigital.com/support/productsecurity
5. 官方報告渠道：用於漏洞披露通訊的通訊渠道：PSIRT@wdc.com。
6. 最初確認：這是我們收到您提交給 PSIRT 的報告的回復日期，報告中包含案例編號和 90 天披露日期。

3. 漏洞報告說明

要報告您認為在 Western Digital 產品或服務中發現的安全問題，請透過電子郵件將您發現的詳細資訊發送至官方報告渠道。發送到任何其他電子郵件地址的訊息可能會導致回復延遲。

所需資訊：

• 特定產品及版本號；或
• 對於服務，提供特定服務和/或 URL (包括所報告問題的時間戳記)；以及
• 重現問題的步驟，包括概念驗證 (PoC)；

建議：

• 提供任何相關的 CWE 參考資料 (如有)；
• 您是否認為此漏洞已得到公開披露，或者第三方已知曉此漏洞。

傳送報告問題的電子郵件之前，您可以使用我們的 PGP/GPG 金鑰對資訊進行加密。

4. 多方協調漏洞披露

我們遵循有關多方漏洞協調和披露的 FIRST 準則和做法。

5. 產品和服務範圍

我們接受所有未達更新/支援終止的 Western Digital HDD 產品和平台產品及相關雲端服務的安全性報告。所有已達更新/支援終止的產品和服務均不適用此漏洞揭露政策。

6. 超出範圍

產品漏洞掃描

• 若無概念驗證，PSIRT 不接受針對我們裝置的漏洞掃描報告。

如需 Western Digital 快閃記憶體產品報告，請參閱 SanDisk 漏洞揭露政策。

我們也歡迎針對我們的網路存在的漏洞報告，即 westerndigital.com，請將這些報告傳送至 websecurity@wdc.com。

接受的 Web 漏洞：

• OWASP 十大漏洞類別
• 其他已證實有影響的漏洞

不可接受的 Web 漏洞：

• 理論漏洞
• 非敏感性資料的資訊揭露
• 低影響/低可能性的漏洞利用

7. 我們的承諾

我們在根據此政策開展合作時做出以下承諾：

• 我們目前未提供也未參與任何挑錯獎勵計畫。我們不接受不符合我們的安全佈告發佈流程的獎勵支付、宣傳材料或信用請求。
• 我們將在收到您的漏洞報告的 3 個工作天內最初確認，並提供追蹤編號。
• 我們會在最初確認後 30 天內發送漏洞接收確認，並會在其中添加建議的修復截止期限。如果我們不接受報告，我們會提供理由，並且我們也會繼續接收有關該報告的新資訊。
• 確認報告的漏洞後，我們的工程師會進行適當的修復工作。
• 有時可能存在 90 天內無法解決的漏洞。如果需要比常規保密期更長的時間，我們會與您合作延長保密期或提供其他建議。解決方案視以下因素而定：
  
  • 上游供應商的解決方案時間範圍與我們不同。
  • 解決該漏洞所需的重大架構設計更改。
  • 由於低層級韌體更改 (例如硬碟韌體漏洞) 導致的複雜或擴展的驗證要求。
• 我們自定決定發佈安全佈告，以便向我們的客戶和公眾提供安全資訊。如果出現以下情況，我們將在相關安全佈告和 CVE 上為您提供發現和報告漏洞的確認資訊：
  • 報告的漏洞影響當前受支援的 Western Digital 產品，
  • 我們根據問題修改代碼或組態，
  • 您是第一個報告此問題的人，
  • 您的研究是根據本政策進行的，並且
  • 您同意確認。
• 對於沒有經過驗證的安全性影響的一般安全性改進和防禦性程式修復，我們不會發布公告。

8. 我們的預期

為了誠信地參與我們的漏洞披露計畫，我們向您提出以下要求。

• 遵守規則，包括遵循以下政策和任何其他相關合約。如果本政策與任何其他適用條款有任何不一致之處，則以本政策條款為準。
• 立即報告您發現的任何漏洞。
• 盡一切努力避免在安全測試過程期間侵犯隱私、降低使用者體驗、中斷生產系統以及資料遺失。特別注意：
  
  • 不要對我們的使用者、系統或應用程式造成潛在或實際損害，包括透過拒絕服務等破壞性測試造成損害。
  • 不要利用漏洞查看未經授權的資料或破壞任何資料。
  • 不要執行針對我們的人員、財產、資料中心、合作夥伴和關係企業的攻擊。
  • 不要為存取我們的資產而進行社交工程嘗試，或以任何其他方式歪曲您與我們的任何員工、承包商或關係企業的附屬關係或授權。
    
  • 不要為了發現漏洞而違反任何法律或合約。
    
• 僅在上述產品和服務範圍內定義的產品範圍內進行研究。
• 僅透過我們的漏洞報告流程向我們傳送安全漏洞通訊。
  
• 在我們解決問題並發佈安全佈告之前，請您對發現的任何漏洞的資訊保密。請勿在保密期披露資訊。
• 如果漏洞提供了對資料的意外存取權限：
  
  • 將您存取的資料量限制在有效演示概念證明所需的最低限度；並且
  • 如果您在測試期間遇到任何使用者資料，例如個人身分資訊 (PII)、個人醫療保健資訊 (PHI)、信用卡資料或專有資訊，請立即停止測試並提交報告。
• 僅與您擁有的測試帳戶或帳戶持有人明確允許的帳戶進行互動。

9. 免責聲明

我們可能會不時更新漏洞披露政策。請在提交漏洞報告前檢閱此政策。披露將受最初確認時公佈的本政策版本的約束。

10. 變更歷史

已發佈：2025 年 3 月 17 日
版本：2.0

11. 參考

本政策以 ISO 文件 29147 和 30111 所載之準則為依據。
感謝 disclose.io 在 Creative Commons CC-0 下提供的大綱和文本，這對我們建立 VDP 十分有幫助。