Programme de prime à la sécurité
QNAP s’engage pour assurer la sécurité de l’information et s’est associé à la communauté de chercheurs de sécurité pour identifier et corriger les vulnérabilités afin de garder nos utilisateurs, nos produits et le réseau en sécurité. Pour remercier ceux qui contribuent à la sécurité, offre des récompenses via son programme de prime à la sécurité.
Champ d’application du programme
Notre programme de prime à la sécurité accepte uniquement les vulnérabilités de sécurité présentes dans les produits et services QNAP. Les vulnérabilités hors du champ d’application ne seront pas éligibles à une récompense. Cependant, des exceptions sont prévues pour les rapports de vulnérabilités hors du champ d’application mais critiques, en fonction de la situation.
Comment signaler la vulnérabilité et obtenir des récompenses ?
Utilisez la clé publique de cryptage PGP ci-dessous pour chiffrer votre e-mail et l’envoyer à security@qnap.com. Nous vous contacterons dès que possible.
Format conseillé des rapports de vulnérabilité
-
Systèmes d’exploitation
-
Applications
-
Services dans le Cloud
Clé de chiffrement PGP
Qualifications des récompenses
-
Vous devez être le premier chercheur à signaler les vulnérabilités.
-
Vous ne devez pas avoir partagé publiquement des fichiers et/ou des détails relatifs à la vulnérabilité. Cela inclut des téléchargements vers des sites web accessibles au public.
-
L'équipe PSIRT du QNAP confirme que la vulnérabilité signalée est vérifiable, reproductible et qu'elle constitue un problème de sécurité valable.
-
Vous acceptez toutes les conditions générales du programme de prime à la sécurité.
La récompense peut être augmentée en fonction de :
-
Intégrité du format : Respectez les exemples de format et fournissez des informations détaillées quand vous signalez des vulnérabilités dans les systèmes d'exploitation, les applications ou les services cloud. Exemples de formats : Systèmes d’exploitation, Applications, Services cloud.
-
Étapes à reproduire : Illustrez vos étapes pour reproduire les vulnérabilités.
-
Description du problème : Présentez de manière claire et concise votre dépannage et votre approche.
-
Autres informations complémentaires : Incluez le code de test, les scripts et tout autre élément nécessaire à votre explication.
-
Données brutes des attaques (charge exploitée) : Un rapport sous forme de texte est nécessaire pour garantir l'intégrité des données. Les évaluations de vulnérabilité peuvent ne pas répondre aux attentes de QNAP PSIRT quand les charges utiles du réseau ont été fournies sous forme d'images uniquement.
FAQ
La récompense est déterminée par la complexité de l’exploitation réussie de la vulnérabilité, le potentiel d’exposition, le pourcentage des utilisateurs et systèmes affectés.
Si les vidéos peuvent nous aider à mieux comprendre la façon dont les vulnérabilités sont exploitées, le comité des récompenses QNAP pourra par conséquence augmenter la récompense. Veuillez noter qu’une documentation écrite doit être tout de même fournie (par ex. informations sur le produit, résumé de la vulnérabilité et étapes à suivre pour la reproduire) car elle nous aide à gérer le processus de divulgation de la vulnérabilité.
Un rapport de vulnérabilité doit au moins inclure les informations suivantes : le nom du produit, la version et le numéro de construction où la vulnérabilité existe ou l’emplacement de l’URL pour les services cloud.
Il doit également fournir un résumé des éventuelles menaces posée par la vulnérabilité, ainsi que des étapes de reproduction clairement détaillées. En outre, le rapport peut être accompagné d’une vidéo démontrant la vulnérabilité.
Veuillez utiliser la clé PGP fournie par QNAP pour crypter le rapport et l’envoyer à security@qnap.com. Le système va répondre automatiquement avec un numéro de support technique, que vous pourrez utiliser pour vous renseigner sur l’état d’avancement de l’examen. L’équipe PSIRT QNAP contactera de manière proactive le chercheur afin de vérifier l’exhaustivité des informations soumises. Si toutes les informations requises ont été fournies, le chercheur recevra une lettre de confirmation de vulnérabilité par le PSIRT de QNAP dans un délai d’une semaine. La lettre inclura l’ID CVE attribué au problème de sécurité signalé. La proposition de récompense sera notifiée par e-mail quatre semaines suivant la date de la lettre de confirmation de la vulnérabilité. Si le chercheur est d’accord, QNAP devrait effectuer le paiement 12 semaines après avoir reçu la réponse de confirmation.
Abonnez-vous aux eNews de QNAP pour recevoir les dernières nouvelles sur la sécurité des produits
Systèmes d’exploitation
Récompenses jusqu’à 20.000 $ US
Récompense |
Les rapports de vulnérabilité de sécurité confirmés et évalués peuvent recevoir des récompenses allant jusqu’à 20.000 $ US |
---|---|
Produits dans le champ d’application |
Seuls les rapports concernant les versions officiellement publiées et récentes des produits, applications et services sont acceptés.
|
Restrictions |
Le programme de prime à la sécurité est strictement limité aux vulnérabilités trouvées dans les produits et services QNAP. Les actions susceptibles d'endommager ou de nuire aux serveurs ou aux données de QNAP sont interdites. Les tests de vulnérabilité ne doivent pas violer les lois locales ou de Taïwan. Les rapports de vulnérabilité ne sont pas acceptés s’ils décrivent ou impliquent :
|
Applications
Récompenses jusqu’à 10.000 $ US
Récompense |
Les rapports de vulnérabilité de sécurité confirmés et évalués peuvent recevoir des récompenses allant jusqu’à 10.000 $ US |
---|---|
Produits dans le champ d’application |
Seuls les rapports concernant les versions officiellement publiées et récentes des produits, applications et services sont acceptés. Le programme accepte uniquement les rapports des vulnérabilités de sécurité dans les applications suivantes :
|
Restrictions |
Le programme de prime à la sécurité est strictement limité aux vulnérabilités trouvées dans les produits et services QNAP. Les actions susceptibles d'endommager ou de nuire aux serveurs ou aux données de QNAP sont interdites. Les tests de vulnérabilité ne doivent pas violer les lois locales ou de Taïwan. Les rapports de vulnérabilité ne sont pas acceptés s’ils décrivent ou impliquent :
|
Services de cloud
Récompenses jusqu’à 5.000 $ US
Récompense |
Les rapports de vulnérabilité de sécurité confirmés et évalués peuvent recevoir des récompenses allant jusqu’à 5.000 $ US |
---|---|
Produits dans le champ d’application |
Seuls les rapports concernant les versions officiellement publiées et récentes des produits, applications et services sont acceptés. Le programme accepte uniquement les rapports des vulnérabilités de sécurité dans les domaines suivants :
|
Restrictions |
Le programme de prime à la sécurité est strictement limité aux vulnérabilités trouvées dans les produits et services QNAP. Les actions susceptibles d'endommager ou de nuire aux serveurs ou aux données de QNAP sont interdites. Les tests de vulnérabilité ne doivent pas violer les lois locales ou de Taïwan. Les rapports de vulnérabilité ne sont pas acceptés s’ils décrivent ou impliquent :
|
Systèmes d'exploitation
(les champs marqués d'un * sont obligatoires)
-
Produit* : Le nom du produit, par exemple QuTS hero
-
Version* : La version et le numéro de construction, par exemple, h5.0.1.2376 build 20230421
-
Résumé* : Au format « Un type de vulnérabilité dans l'emplacement », par exemple, Injection de commande dans abc.cgi
-
Autorisations d'accès* : Les autorisations d'accès quand vous avez exploité les vulnérabilités. Par exemple : Aucun / Utilisateur régulier / Groupe d'administrateurs / Admin.
-
Motivation : Pourquoi commencez-vous la recherche de vulnérabilités ?
-
Outils : Les outils que vous avez utilisés lors de la recherche de vulnérabilités.
-
Description : Informations relatives à la vulnérabilité
-
par exemple :
-
Une courte description des éventuels dommages
-
Analyse de la vulnérabilité
-
Comment la vulnérabilité peut être identifiée
-
Les outils optimisés
-
-
ID CWE : CWE-XXX, CWE-YYY et ainsi de suite
-
ID CAPEC : CAPEC-XXX, CAPEC-YYY et ainsi de suite
-
Score CVSS : CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., veuillez consulter le calculateur du score de base https://cvss.js.org/
-
Étapes à reproduire* : Instructions étape par étape à reproduire
-
Preuve de faisabilité : Toute vidéo, capture d’écran ou faille
Applications
(les champs marqués d'un * sont obligatoires)
-
Application* : Le nom de l’application, par exemple, File Station
-
Version* : La version et le numéro de construction, par exemple, 2.0.2 (2022/01/26)
-
Résumé* : Au format « Un type de vulnérabilité dans l’emplacement », par exemple, dépassement de mémoire tampon dans l’appli abc
-
Autorisations d'accès* : Les autorisations d'accès quand vous avez exploité les vulnérabilités. Par exemple : Aucun / Utilisateur régulier / Groupe d'administrateurs / Admin.
-
Motivation : Pourquoi commencez-vous la recherche de vulnérabilités ?
-
Outils : Les outils que vous avez utilisés lors de la recherche de vulnérabilités.
-
Description : Informations relatives à la vulnérabilité
-
par exemple :
-
Une courte description des éventuels dommages
-
Analyse de la vulnérabilité
-
Comment la vulnérabilité peut être identifiée
-
Les outils optimisés
-
-
ID CWE : CWE-XXX, CWE-YYY et ainsi de suite
-
ID CAPEC : CAPEC-XXX, CAPEC-YYY et ainsi de suite
-
Score CVSS : CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., veuillez consulter le calculateur du score de base https://cvss.js.org/
-
Étapes à reproduire* : Instructions étape par étape à reproduire
-
Preuve de faisabilité : Toute vidéo, capture d’écran ou faille
Services dans le Cloud
(les champs marqués d'un * sont obligatoires)
-
Domaine* : Le nom de domaine (par exemple, https://account.qnap.com)
-
Résumé* : Au format « Un type de vulnérabilité dans l’emplacement », par exemple, XSS sur https://account.qnap.com
-
Motivation : Pourquoi commencez-vous la recherche de vulnérabilités ?
-
Outils : Les outils que vous avez utilisés lors de la recherche de vulnérabilités.
-
Description : Informations relatives à la vulnérabilité
-
par exemple :
-
Une courte description des éventuels dommages
-
Analyse de la vulnérabilité
-
Comment la vulnérabilité peut être identifiée
-
Les outils optimisés
-
-
ID CWE : CWE-XXX, CWE-YYY et ainsi de suite
-
ID CAPEC : CAPEC-XXX, CAPEC-YYY et ainsi de suite
-
Score CVSS : CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., veuillez consulter le calculateur du score de base https://cvss.js.org/
-
Étapes à reproduire* : Instructions étape par étape à reproduire
-
Preuve de faisabilité : Toute vidéo, capture d’écran ou faille