Segnalazione di vulnerabilità sulla sicurezza dei prodotti QNAP
QNAP invita gli sviluppatori e gli utenti esperti a segnalare qualsiasi vulnerabilità sulla sicurezza, potenziale o confermata, nei prodotti QNAP, al team di assistenza per la sicurezza. Usare la seguente chiave pubblica di crittografia PGP per crittare il messaggio e-mail e inviarlo a security@qnap.com.
Chiave pubblica di crittografia PGP
Si consiglia di utilizzare la seguente chiave pubblica di crittografia PGP per crittare la propria e-mail per la segnalazione di vulnerabilità di sicurezza su QNAP.
Domande frequenti
- Quando si riscontrano vulnerabilità alla sicurezza nei prodotti QNAP.
- In caso di richieste di assistenza tecnica (ad esempio, come configurare il NAS, per aggiornamento di sistema e richieste RMA)
- Segnalazione di vulnerabilità già conosciute al pubblico (ad esempio, vulnerabilità già elencate in Security Advisory)
- Ricerca di assistenza tecnica per l'installazione di patch pubblicati in risposta alle vulnerabilità alla sicurezza
- Segnalazione di vulnerabilità di prodotti di altri fornitori o richiesta di informazioni sulle vulnerabilità di prodotti di altri fornitori
- Segnalazione di vulnerabilità della sicurezza riscontrate su siti Web diversi da qnap.com
- Ricerca di consigli su questioni non relative alla sicurezza dei prodotti
- Segnalazione di malware riscontrati su dispositivi mobile
Per le condizioni di cui sopra, occorre contattare il team di assistenza tecnica QNAP. Il team di assistenza tecnica può essere contattato su http://helpdesk.qnap.com/. Se ritenuto necessario dal team di assistenza tecnica, la richiesta sarà trasmessa al team di assistenza alla sicurezza.
- Per segnalare le vulnerabilità sulla sicurezza del prodotti QNAP, occorre inserire il maggior numero di informazioni possibile, come il nome del modello hardware, al versione di QTS/QES, il nome e la versione delle app in cui sono presenti le vulnerabilità, una descrizione delle vulnerabilità e i passaggi completi per riprodurre la vulnerabilità. Quando si contatta QNAP, si consiglia di utilizzare la chiave pubblica di crittografia PGP fornita in questa pagina per garantire l'integrità e la riservatezza dell'e-mail.
- Il Product Security Incident Response Team di QNAP analizzerà ed indagherà in maniera approfondita le informazioni ricevute. In genere, confermeremo la ricezione della segnalazione entro tre (3) giorni lavorativi, dopodiché inizieremo a indagare e verificare il problema segnalato. Una volta che la segnalazione è stata esaminata e confermata, QNAP rilascerà una patch (Qfix) o una versione aggiornata del software in questione, se necessario. La patch e la versione aggiornata in genere sono rilasciate entro novanta (90) giorni dalla segnalazione, tuttavia, in base alla complessità del problema, potrebbe essere necessario un tempo supplementare. Inoltre, sarà pubblicato un articolo corrispondente su Security Advisory. Non saranno mai inoltrate e-mail né l'indirizzo e-mail dell'utente sarà fornito a terzi. Inoltre, non sarà richiesta o divulgata alcuna informazione personale che possa essere utilizzata per identificare l'utente, compresa la sua identità, il suo lavoro, le macchine o le configurazioni in essere.
Per ridurre la possibilità che gli utenti siano attaccati da criminali informatici, QNAP non annuncerà in anticipo l’esistenza di vulnerabilità prima di rilasciare le patch od avvisi sulla sicurezza. Seguire i consigli di QNAP per garantire la sicurezza di rete dei prodotti QNAP utilizzati. Per i servizi QNAP utilizzati, ottenere le patch sulla sicurezza e gli avvisi sulla sicurezza dal sito Web di QNAP e aggiornare in modo tempestivo e regolare il software. QNAP consiglia inoltre di sottoscriversi agli avvisi sulla sicurezza per ottenere le notizie più recenti sulla sicurezza del prodotto.
Per la sicurezza degli utilizzatori,
QNAP non divulga, discute o conferma i problemi di sicurezza fino a conclusione di un'indagine e finché le patch e le versioni non sono disponibili.
