Hitachi Vantara 安全公告

Hitachi Vantara 漏洞披露政策

1. 政策简介及政策目的

本政策旨在建立一套报告潜在的漏洞和威胁的方法，供所有 Hitachi Vantara 客户和外部利益相关方遵循。

本政策的目标是通过持续解决潜在的漏洞和威胁，减少可能对 Hitachi Vantara 的运营、基础设施和服务造成影响的风险，从而确保客户的信任。

2. 范围

除非本文件另有说明，本政策适用于所有部门和地区，并适用于与 Hitachi Vantara 开展业务的客户和第三方有直接或间接关系的所有员工。

以下情况不在本政策的范围内：

• 当 Hitachi Vantara 客户或第三方要求采取超出有效合同延期范围的行动时。

3. 报告潜在漏洞和威胁的流程

3.1. 任何 Hitachi Vantara 客户或第三方均可提交报告，告知潜在漏洞或威胁。报告提交应包含以下信息，但不限于：

• 受影响的 Hitachi Vantara 产品或解决方案的详细信息
• Hitachi Vantara 组件的软件和/或微码版本
• 已识别漏洞或威胁的详细描述，以及
• 任何其他相关信息，例如证据或概念证明，其中已发现的漏洞已发布，并且个人报告承诺协调披露。

3.2. 报告任何潜在漏洞或威胁的联系信息：

• 当发现 Hitachi Vantara 产品中存在潜在安全漏洞时，鼓励客户或第三方通过联系 Hitachi Vantara全球支持中心 (GSC)报告漏洞。
• GSC 团队将与 Hitachi Vantara 的网络安全团队合作，根据客户合同要求和 GSC 标准操作程序调查该问题。
• Hitachi Vantara 建议使用加密程序来安全地传输任何机密和个人数据。
• 虽然 Hitachi Vantara 会审查通过 GSC 提交的报告，但由于个人设计、第三方组件或受损的访问凭据而导致现有客户安装中的弱点，并不被视为 Hitachi Vantara 产品中的漏洞。
• 对于所有与 Hitachi Vantara 没有客户关系的实体，您可以在此处向网络安全团队报告安全漏洞。（ security.vulnerabilities@hitachivantara.com ）

3.3. 在报告客户或第三方的同意下，Hitachi Vantara 必须在官方流程中承认客户或第三方在发现漏洞中的贡献。Hitachi Vantara 并未设立“漏洞悬赏”计划。因此，Hitachi Vantara 通过漏洞发布（CVE - 公共漏洞枚举）或贡献认可信函，向漏洞研究人员表示感谢。

3.4. Hitachi Vantara 的产品漏洞处理一般包括以下几个步骤：

• 首次响应，
• 初步分类，
• 调查和规划，
• 补救措施，以及
• 披露和通知。

尽管 Hitachi Vantara 会尽力及时修复对 Hitachi Vantara、其客户和第三方构成高风险的漏洞，但修复时间可能会因漏洞的复杂性或威胁情况而有所不同。假设报告的信息尚未公开，报告漏洞的客户或第三方与 Hitachi Vantara 的意图是，在漏洞修复之前，不公开任何相关信息。

4. 免责声明

本文所含信息可能随时更改，恕不另行通知。本政策中的声明不会修改、取代或以其他方式修订 Hitachi Vantara LLC 与任何其他方之间的任何客户权利、义务或条款。使用本政策中包含的信息或链接的风险由您自行承担。