Search

Programm für Sicherheitsprämien

QNAP hat sich uneingeschränkt der Informationssicherheit verschrieben und arbeitet mit der Gemeinschaft der Sicherheitsforscher zusammen, um Schwachstellen zu identifizieren und zu beheben, damit unsere Benutzer, Produkte und das Internet sicherer werden. Als Dankeschön für diese Zusammenarbeit bietet QNAP Belohnungen im Rahmen unseres Programms für Sicherheitsprämien.

Umfang des Programms

Unser Programm für Sicherheitsprämien akzeptiert nur Sicherheitsschwachstellen in QNAP Produkten und Dienstleistungen. Schwachstellen, die nicht in den Geltungsbereich des Programms fallen, kommen nicht für eine Belohnung in Frage. Ausnahmen werden je nach Situation für Meldungen kritischer Schwachstellen gemacht, die nicht in den Geltungsbereich fallen.

Wie melde ich die Schwachstelle und erhalte Prämien?

Verwenden Sie den öffentlichen PGP Verschlüsselungsschlüssel, um Ihre E-Mail Nachricht zu verschlüsseln, und senden Sie sie an security@qnap.com. Wir werden Sie so schnell wie möglich kontaktieren.

Empfohlenes Format für den Schwachstellenbericht

PGP Verschlüsselungsschlüssel

PGP Verschlüsselungsschlüssel kopieren
Schwachstellen melden

Voraussetzungen für die Prämie

  • Sie müssen die Sicherheitslücken als Erste(r) melden.

  • Sie dürfen keine Dateien und/oder Details im Zusammenhang mit der Sicherheitslücke öffentlich zugänglich gemacht haben. Dies schließt Uploads auf öffentlich zugängliche Webseiten ein.

  • Die gemeldete Schwachstelle wird vom QNAP PSIRT Team als überprüfbar, reproduzierbar und als gültiges Sicherheitsproblem bestätigt.

  • Sie stimmen allen Bedingungen und Konditionen des Security Bounty Programms zu.

Die Prämie kann erhöht werden, je nach:

  • Integrität des Formats: Halten Sie sich an die Formatbeispiele und liefern Sie detaillierte Informationen, wenn Sie Schwachstellen in Betriebssystemen, Anwendungen oder Cloud-Diensten melden. Formatbeispiele: Betriebssysteme, Anwendungen, Cloud-Dienste.

  • Schritte zur Reproduktion: Veranschaulichen Sie Ihre Schritte zur Reproduktion der Schwachstellen.

  • Problembeschreibungen: Stellen Sie Ihre Fehlerbehebung und Vorgehensweise klar und prägnant dar.

  • Andere unterstützende Informationen: Fügen Sie Testcode, Skripte und alles andere bei, was Sie für Ihre Erklärung benötigen.

  • Rohdaten der Angriffe (Exploit Payload): Ein Bericht in Textform ist erforderlich, um die Datenintegrität zu gewährleisten. Schwachstellenbewertungen können hinter den Erwartungen von QNAP PSIRT\ zurückbleiben, wenn die Netzwerk Payloads nur in Form von Bildern bereitgestellt wurden.

FAQ

Die Prämie richtet sich nach der Komplexität der erfolgreichen Ausnutzung der Schwachstelle, der potenziellen Gefährdung und dem Prozentsatz der betroffenen Benutzer und Systeme.

Wenn uns die Videos beim Verständnis der Ausnutzung der Schwachstelle behilflich sind, kann das QNAP Preiskomitee die Belohnung erhöhen. Bitte beachten Sie, dass eine schriftliche Dokumentation (z.B. Produktinformationen, eine Zusammenfassung der Schwachstelle und Schritte zur Reproduktion) nach wie vor erforderlich ist, da sie bei der Verwaltung des Verfahrens zur Offenlegung der Schwachstelle hilfreich ist.

Ein Schwachstellenbericht muss mindestens die folgenden Informationen enthalten: den Produktnamen, die Version und die Build-Nummer, in der die Schwachstelle vorhanden ist, oder die URL-Adresse für Cloud-Dienste.
Er sollte auch eine Zusammenfassung der potenziellen Bedrohungen durch die Schwachstelle sowie klar definierte Reproduktionsschritte enthalten. Zusätzlich kann dem Bericht ein Video beigefügt werden, in dem die Schwachstelle demonstriert wird.

Bitte verwenden Sie den von QNAP bereitgestellten PGP-Schlüssel, um den Bericht zu verschlüsseln, und senden Sie ihn an security@qnap.com. Das System antwortet automatisch mit einer technischen Supportnummer, unter der Sie sich über den Fortschritt der Überprüfung erkundigen können. Das QNAP PSIRT Team wird sich proaktiv mit dem Forscher in Verbindung setzen, um die Vollständigkeit der eingereichten Informationen zu überprüfen. Wenn alle erforderlichen Informationen bereitgestellt wurden, erhält der Forscher innerhalb einer Woche ein Bestätigungsschreiben für die Schwachstelle von QNAP PSIRT. Das Schreiben enthält die zugewiesene CVE-ID für die gemeldete Sicherheitslücke. Der Preisvorschlag wird vier Wochen nach dem Datum des Bestätigungsschreibens für die Schwachstelle per E-Mail bekannt gegeben. Wenn der Forscher zustimmt, wird QNAP die Zahlung voraussichtlich 12 Wochen nach Erhalt der Bestätigungsantwort vornehmen.

Abonnieren Sie die QNAP eNews, um die neuesten Informationen zur Produktsicherheit zu erhalten

Jetzt abonnieren Ein tiefer Einblick in die Sicherheitshinweise

Wählen Sie die Spezifikation

      Mehr anzeigen Weniger

      Diese Seite in anderen Ländern / Regionen:

      open menu
      back to top