Programme de prime à la sécurité

QNAP s’engage pour assurer la sécurité de l’information et s’est associé à la communauté de chercheurs de sécurité pour identifier et corriger les vulnérabilités afin de garder nos utilisateurs, nos produits et le réseau en sécurité. Pour remercier ceux qui contribuent à la sécurité, offre des récompenses via son programme de prime à la sécurité.

Champ d’application du programme

Notre programme de prime à la sécurité accepte uniquement les vulnérabilités de sécurité présentes dans les produits et services QNAP. Les vulnérabilités hors du champ d’application ne seront pas éligibles à une récompense. Cependant, des exceptions sont prévues pour les rapports de vulnérabilités hors du champ d’application mais critiques, en fonction de la situation.

Comment signaler la vulnérabilité et obtenir des récompenses ?

Utilisez la clé publique de cryptage PGP ci-dessous pour chiffrer votre e-mail et l’envoyer à security@qnap.com. Nous vous contacterons dès que possible.

Format conseillé des rapports de vulnérabilité

Clé de chiffrement PGP

Qualifications des récompenses

  • Vous devez être le premier chercheur à signaler les vulnérabilités.

  • Vous ne devez pas avoir partagé publiquement des fichiers et/ou des détails relatifs à la vulnérabilité. Cela inclut des téléchargements vers des sites web accessibles au public.

  • L'équipe PSIRT du QNAP confirme que la vulnérabilité signalée est vérifiable, reproductible et qu'elle constitue un problème de sécurité valable.

  • Vous acceptez toutes les conditions générales du programme de prime à la sécurité.

La récompense peut être augmentée en fonction de :

  • Intégrité du format : Respectez les exemples de format et fournissez des informations détaillées quand vous signalez des vulnérabilités dans les systèmes d'exploitation, les applications ou les services cloud. Exemples de formats : Systèmes d’exploitation, Applications, Services cloud.

  • Étapes à reproduire : Illustrez vos étapes pour reproduire les vulnérabilités.

  • Description du problème : Présentez de manière claire et concise votre dépannage et votre approche.

  • Autres informations complémentaires : Incluez le code de test, les scripts et tout autre élément nécessaire à votre explication.

  • Données brutes des attaques (charge exploitée) : Un rapport sous forme de texte est nécessaire pour garantir l'intégrité des données. Les évaluations de vulnérabilité peuvent ne pas répondre aux attentes de QNAP PSIRT quand les charges utiles du réseau ont été fournies sous forme d'images uniquement.

FAQ

La récompense est déterminée par la complexité de l’exploitation réussie de la vulnérabilité, le potentiel d’exposition, le pourcentage des utilisateurs et systèmes affectés.

Si les vidéos peuvent nous aider à mieux comprendre la façon dont les vulnérabilités sont exploitées, le comité des récompenses QNAP pourra par conséquence augmenter la récompense. Veuillez noter qu’une documentation écrite doit être tout de même fournie (par ex. informations sur le produit, résumé de la vulnérabilité et étapes à suivre pour la reproduire) car elle nous aide à gérer le processus de divulgation de la vulnérabilité.

Un rapport de vulnérabilité doit au moins inclure les informations suivantes : le nom du produit, la version et le numéro de construction où la vulnérabilité existe ou l’emplacement de l’URL pour les services cloud.
Il doit également fournir un résumé des éventuelles menaces posée par la vulnérabilité, ainsi que des étapes de reproduction clairement détaillées. En outre, le rapport peut être accompagné d’une vidéo démontrant la vulnérabilité.

Veuillez utiliser la clé PGP fournie par QNAP pour crypter le rapport et l’envoyer à security@qnap.com. Le système va répondre automatiquement avec un numéro de support technique, que vous pourrez utiliser pour vous renseigner sur l’état d’avancement de l’examen. L’équipe PSIRT QNAP contactera de manière proactive le chercheur afin de vérifier l’exhaustivité des informations soumises. Si toutes les informations requises ont été fournies, le chercheur recevra une lettre de confirmation de vulnérabilité par le PSIRT de QNAP dans un délai d’une semaine. La lettre inclura l’ID CVE attribué au problème de sécurité signalé. La proposition de récompense sera notifiée par e-mail quatre semaines suivant la date de la lettre de confirmation de la vulnérabilité. Si le chercheur est d’accord, QNAP devrait effectuer le paiement 12 semaines après avoir reçu la réponse de confirmation.

Abonnez-vous aux eNews de QNAP pour recevoir les dernières nouvelles sur la sécurité des produits

Choisissez une spécification

      En voir davantage Moins

      Ce site est disponible dans d'autres pays/régions :

      open menu
      back to top