Search

Program odměn za zabezpečení

Společnost QNAP nekompromisně dbá na bezpečnost informací a spolupracuje s výzkumnou komunitou v oblasti zabezpečení na identifikaci a opravě slabých míst, aby zajistila větší bezpečnost našich uživatelů, produktů a internetu. Jako poděkování přispěvatelům poskytuje společnost QNAP odměny prostřednictvím našeho programu odměn za zabezpečení.

Rozsah programu

Náš program odměn za zabezpečení přijímá pouze bezpečnostní chyby v produktech a službách společnosti QNAP. Za slabá místa mimo rozsah se odměna neposkytuje, výjimku tvoří hlášení kritických slabých míst mimo rozsah v závislosti na situaci.

Jak nahlásit slabé místo a získat odměnu?

K zašifrování e-mailu a jeho odeslání na adresu security@qnap.com použijte níže uvedený veřejný šifrovací klíč PGP. Ozveme se vám co nejdříve.

Navrhovaný formát hlášení o zranitelnostech

Šifrovací klíč PGP

Kopírovat šifrovací klíč PGP
Nahlásit slabinu

Kvalifikace odměn

  • Musíte být prvním výzkumníkem, který slabé místo nahlásí.

  • Nesmíte veřejně sdílet žádné soubory a/nebo podrobnosti týkající se slabých míst. To se týká i nahrávání na všechny veřejně přístupné webové stránky.

  • Tým QNAP PSIRT potvrdil, že nahlášené slabé místo je ověřitelné, replikovatelné a představuje platný bezpečnostní problém.

  • Souhlasíte se všemi podmínkami programu odměn za zabezpečení.

Odměna může být zvýšena na základě těchto aspektů:

  • Integrita formátu: Při hlášení zranitelností operačních systémů, aplikací nebo cloudových služeb dodržujte příklady formátu a uvádějte podrobné informace. Příklady formátu: Operační systémy, aplikace, cloudové služby.

  • Postup reprodukce: Ilustrujte svůj postup k reprodukci zranitelností.

  • Popisy problémů: Jasně a stručně představte řešení problémů a přístup.

  • Další podpůrné informace: Přiložte testovací kód, skripty a vše, co je pro vysvětlení potřeba.

  • Surová data útoků (exploit payload): Pro zajištění integrity dat je vyžadována zpráva v textové podobě. Posouzení zranitelnosti může nesplnit očekávání společnosti QNAP PSIRT, pokud byla síťová užitečná zatížení poskytnuta pouze v podobě obrázků.

Často kladené dotazy

Odměna se určuje podle složitosti úspěšného využití slabého místa, potenciální expozice a procenta zasažených uživatelů a systémů.

Pokud nám videa pomohou pochopit, jak jsou zranitelnosti zneužívány, může výbor pro udělování cen QNAP odměnu zvýšit. Vezměte ale prosím na vědomí, že i tak musí být poskytnuta písemná dokumentace (např. informace o produktu, shrnutí zranitelnosti a kroky k jejímu odstranění), protože nám pomůže v procesu zveřejnění informací o zranitelnosti.

Hlášení o zranitelnostech musí obsahovat alespoň tyto informace: název produktu, číslo verze a buildu, kde se zranitelnost vyskytuje, nebo v případě cloudových služeb adresu URL.
Mělo by také obsahovat shrnutí potenciálních hrozeb, které zranitelnost představuje, spolu s jasnými, podrobnými kroky, jak ji replikovat. K hlášení může být navíc přiloženo video s ukázkou zranitelnosti.

K zašifrování zprávy a jejímu odeslání na adresu security@qnap.com použijte klíč PGP poskytnutý společností QNAP. Systém automaticky odpoví a zašle vám číslo technické podpory, pomocí kterého můžete získat další informace o průběhu přezkumu. Tým QNAP PSIRT aktivně kontaktuje výzkumníka, aby ověřil úplnost předložených informací. Pokud byly poskytnuty všechny požadované informace, obdrží výzkumník do jednoho týdne dopis s potvrzením o zranitelnosti QNAP PSIRT. Dopis bude obsahovat přidělené ID CVE pro nahlášený bezpečnostní problém. Návrh na udělení odměny odešleme e-mailem čtyři týdny od odeslání dopisu s potvrzením o zranitelnosti. Pokud výzkumník souhlasí, očekává se, že společnost QNAP provede platbu 12 týdnů po obdržení odpovědi s potvrzením.

Přihlaste se k odběru QNAP eNews a dostávejte novinky o zabezpečení produktů

Přihlaste se k odběru Podrobné bezpečnostní poradenství

Zvolte specifikaci

      Zobrazit více Zobrazit méně

      Tato stránka v jiných zemích / oblastech:

      open menu
      back to top