1. 소개

Western Digital PSIRT(Product Security Incident Response Team)의 주요 목표는 Western Digital 제품 최종 사용자의 보안을 보호하는 것입니다. Western Digital 취약성 공개 정책은 보안 연구원 및 일반 대중이 선의에 기반하여 행동하고 믿을 수 있는 취약성 조사 및 공개에 참여할 것을 권장합니다. 취약성, 노출된 데이터 또는 기타 보안 문제를 발견한 경우, Western Digital에 신고해 주십시오. 이 정책은 Western Digital에 취약성을 신고하기 위한 단계를 간략하게 설명하고, 잠재적인 취약성을 발견하고 보고함에 있어 선의에 대한 정의를 명시하며, Western Digital에서 이와 관련하여 취하는 조치에 대해 설명합니다.

2. 정의

1. 당사: 정책 내에 사용된 모든 "당사" 는 모든 Western Digital을 의미하며 자사 브랜드를 포함합니다.
2. 사용자 / 취약성 보고자: 취약성 보고서를 공개하는 개인, 조직 또는 일부 그룹입니다.
3. 기밀 유지 기간: Western Digital에 취약성 보고서가 접수되는 경우, Western Digital의 목표는 최초 승인 후 90일 이내에 해결 작업을 완료하고 수정 사항을 배포하는 것입니다. 취약성을 확인하기 위해 추가 정보가 필요한 경우 Western Digital에서 연락 드리겠습니다. 3번의 연락 시도 후에도 답변이 없는 경우, 해당 건은 종료되지만 이후에도 해당 건과 관련하여 논의할 수 있습니다.
4. 보안 고시: 당사의 보안 고시는 여기에 게시되어 있습니다.
   https://www.westerndigital.com/support/productsecurity
5. 공식 보고 채널: 취약성 공개에 대한 문의는 다음 문의 채널을 이용하십시오. PSIRT@wdc.com.
6. 최초 승인: 이 날짜는 PSIRT에 보고서가 접수된 후 사례 번호 및 90일 공개 날짜를 포함하여 당사에서 답변을 드린 날짜입니다.

3. 취약성 보고 안내

사용자가 Western Digital 제품 또는 서비스에서 발견했다고 생각되는 보안 문제를 보고하려면 발견한 사항에 대한 상세 정보를 공식 보고 채널에 이메일로 보내주십시오. 다른 이메일 주소로 메시지를 보낼 경우 답변이 늦어질 수 있습니다.

필수 정보:

• 특정 제품 및 버전 번호, 또는
• 서비스의 경우, 보고된 문제의 타임스탬프를 포함한 특정 서비스 및/또는 URL을 제공합니다.
• 개념 증명(PoC)을 포함하여 문제를 재현하는 단계

권장 사항:

• 이용 가능한 경우, 일체의 관련 CWE 참조를 제공합니다.
• 해당 취약점이 이미 공개되었거나 제삼자에게 알려짐 여부

발송 전에 PGP/GPG 키를 사용하여 해당 정보를 암호화할 수 있습니다.

4. 다자간 협력 취약성 공개

당사는 다자간 취약성 협력 및 공개에 대한 FIRST 지침 및 관행을 따릅니다.

5. 제품 및 서비스 범위

Western Digital은 업데이트/지원이 종료되지 않은 모든 Western Digital HDD 기반 및 플랫폼 제품과 관련 클라우드 서비스에 대한 보안 보고서를 수락합니다. 업데이트/지원이 종료된 모든 제품 및 서비스는 취약성 공개 정책이 적용되지 않습니다.

6. 범위 초과

제품 취약성 스캔

• PSIRT는 개념 증명 없이는 당사 기기에 대한 취약성 스캔 보고서를 수락하지 않습니다.

Western Digital 플래시 기반 제품 보고서는 SanDisk 취약성 공개 정책을 참조하십시오.

또한 westerndigital.com 등 인터넷 사이트에 대한 취약성 보고서를 받고자 합니다. 해당 보고서를 websecurity@wdc.com으로 보내주십시오.

허용되는 웹 취약성:

• OWASP 상위 10개의 취약점 카테고리
• 영향이 입증된 기타 취약점

허용되지 않는 웹 취약성:

• 이론적 취약성
• 민감하지 않은 데이터의 정보 공개
• 취약점을 악용할 가능성이 낮음

7. 당사의 약속

당사와 협력 시 이 정책에 따라 다음을 수행합니다.

• 당사에서는 현재 일체 취약점 제보 포상 프로그램(Bug Bounty Program)을 제공하거나 이에 참여하지 않습니다. 당사는 보안 고시 게시 절차 이외의 포상금 지급, 프로모션 자료 또는 크레딧에 대한 요청을 수락하지 않습니다.
• 당사는 보고를 받은 후 3일 이내에 취약성 보고서를 최초 승인하고 이에 대한 추적 번호를 제공합니다.
• 당사는 최초 승인 후 30일 이내에 취약성 승인 확인서를 예상 수정 기한과 함께 전송합니다. 보고서가 승인되지 않는 경우, 당사는 승인되지 않은 이유를 제공하고 관련 보고에 대한 새로운 정보가 있으면 해당 보고서를 다시 평가합니다.
• 보고된 취약성이 확인되면 당사의 엔지니어가 관련 문제에 대한 적절한 해결 방법을 개발합니다.
• 간혹 90일 이내에 해결할 수 없는 취약성도 있습니다. 일반적인 기밀 유지 기간보다 더 많은 시간이 필요한 경우, 당사는 보고자와 협력하여 기밀 유지 기간을 연장하거나 달리 조치할 것입니다. 다음과 같은 경우 문제 해결에 더 많은 시간이 필요할 수 있습니다.
  
  • 상위 공급자의 문제 해결 일정이 당사와 다른 경우
  • 취약성 해결에 상당한 구조 변경이 필요한 경우
  • 하드 드라이브 펌웨어 취약성과 같은 낮은 수준의 펌웨어 변경으로 인해 인증 요구 사항이 복잡해지거나 확대되는 경우
• 당사는 고객과 대중에게 보안 정보를 제공하기 위해 자체적으로 보안 고시를 게시합니다. 다음과 같은 경우 관련 보안 고시 및 CVE에 해당 취약성을 발견 및 보고한 사용자의 정보를 공개합니다.
  • 현재 지원되는 Western Digital 제품에 영향을 미치는 취약성이 보고된 경우
  • 당사에서 문제를 기반으로 코드 및 구성을 변경한 경우
  • 문제를 처음으로 보고한 경우
  • 본 정책에 따라 사용자가 조사를 시행하고
  • 사용자 정보 공개에 대해 동의한 경우
• 당사는 입증된 보안 영향이 없는 일반적인 보안 개선 및 방어 프로그래밍 수정에 대한 권고를 발표하지 않습니다.

8. 당사의 요구 사항

선의로 취약성 공개 프로그램에 참여 시 당사는 다음을 요구합니다.

• 본 정책 및 기타 관련 계약을 포함하여 모든 규정을 지켜주십시오. 이 정책과 적용 가능한 기타 약관 사이에 불일치가 있는 경우, 이 정책의 약관을 우선합니다.
• 발견한 취약성을 즉시 보고하십시오.
• 보안 테스트 중 개인 정보 침해, 사용자 경험의 품질 저하, 생산 시스템 중단 및 데이터 손상을 방지하기 위해 최대한 노력해 주십시오. 특히 다음에 유의하십시오.
  
  • 서비스 거부와 같이 지장을 주는 테스트 등으로 인해 당사의 사용자, 시스템 또는 애플리케이션에 잠재적이거나 실질적인 손상을 야기하지 마십시오.
  • 취약성을 이용하여 허가되지 않은 데이터를 보거나 데이터를 손상시키지 마십시오.
  • 당사의 직원, 자산, 데이터 센터, 파트너 및 계열사를 대상으로 공격을 수행하지 마십시오.
  • 당사의 자산에 액세스하기 위해 당사의 직원, 계약자 또는 계열사를 대상으로 사회 공학을 시도하거나 본인의 소속 또는 권한을 속이지 마십시오.
    
  • 취약성을 발견하기 위해 법률을 어기거나 계약을 위반하지 마십시오.
    
• 위의 제품 및 서비스 범위 섹션에서 정의된 제품 범위 내에서만 조사를 수행하십시오.
• 당사의 취약성 보고 절차를 통해서만 보안 취약성을 당사에 알려주십시오.
  
• 당사에서 문제를 해결하거나 보안 고시에 게시될 때까지 사용자가 발견한 취약성에 대한 정보는 기밀로 유지하십시오. 기밀 유지 기간이 지난 후에 정보를 공개하지 마십시오.
• 취약성으로 인하여 의도치 않은 데이터에 액세스할 수 있는 경우 다음에 유의하십시오.
  
  • 개념 증명을 효과적으로 입증하는 데 필요한 액세스 가능한 데이터의 양을 최소한으로 제한하십시오.
  • 테스트 중에 개인식별정보(PII), 개인의료정보(PHI), 신용카드 데이터 또는 독점적 정보와 같은 사용자 데이터가 발견되면 테스트를 중단하고 즉시 보고서를 제출하십시오.
• 소유하고 있는 테스트 계정 또는 계정 소유자로부터 명시적 권한을 부여받은 계정과만 상호 작용하십시오.

9. 면책 조항

당사의 취약성 공개 정책은 수시로 업데이트될 수 있습니다. 취약성 보고서를 제출하기 전에 이 정책을 검토하십시오. 공개에는 최초 승인 시점에 게시된 본 정책의 버전이 적용됩니다.

10. 변경 내역

게시됨: 2025년 3월 17일
버전: 2.0

11. 참조

이 정책은 ISO 문서 29147 및 30111에서 제시된 지침에 기반합니다.
disclose.io의 Creative Commons CC-0에 제공된 개요 및 지문이 당사의 VDP 작성에 큰 도움이 되어 감사를 표합니다.