Search

보안 바운티 프로그램

QNAP은 정보 보안에 대한 확고한 의지를 가지고 있으며 보안 연구 커뮤니티와 협력하여 사용자, 제품 및 인터넷을 보다 안전하게 유지하기 위해 취약성을 식별하고 수정했습니다. 기여하는 사람들에게 감사하기 위해 QNAP은 우리의 보안 바운티 프로그램을 통해 보상을 제공합니다.

프로그램 범위

우리의 보안 바운티 프로그램은 QNAP 제품 및 서비스의 보안 취약점만 허용합니다. 범위 밖 취약성은 상황에 따라 중요한 취약성에 대한 범위 밖 보고에 대한 예외를 제외하고 보상을 받을 수 없습니다.

취약성을 보고하고 보상을 받는 방법은 무엇입니까?

아래의 PGP 암호화 공용 키를 사용하여 이메일 메시지를 암호화하고, security@qnap.com으로 보내주십시오. 가능한 한 빨리 연락드리겠습니다.

취약성 보고서 제안 형식

PGP 암호화 키

PGP 암호화 키 복사
취약성 보고

보상 자격

  • 취약성을 보고하는 첫 번째 연구자여야 합니다.

  • 이 취약성과 관련된 파일 또는 세부 정보를 공개적으로 공유하지 않아야 합니다. 여기에는 공개적으로 액세스할 수 있는 모든 웹 사이트에 대한 업로드가 포함됩니다.

  • 보고된 취약성은 QNAP PSIRT 팀에 의해 확인 가능하고 복제 가능하며, 유효한 보안 문제로 확인되어야 합니다.

  • 귀하는 보안 바운티 프로그램의 모든 약관에 동의합니다.

보상은 다음을 기준으로 증가할 수 있습니다:

  • 형식 무결성: 형식 예제를 준수하고 운영 체제, 애플리케이션 또는 클라우드 서비스의 취약성을 보고할 때 자세한 정보를 제공합니다. 예: 운영 체제, 애플리케이션, 클라우스 서비스.

  • 재현 단계: 취약성을 복제하는 단계를 설명합니다.

  • 문제 설명: 문제 해결 및 접근 방식을 명확하고 간결하게 제시합니다.

  • 기타 지원 정보: 테스트 코드, 스크립트 및 기타 설명에 필요한 모든 것을 포함합니다.

  • 원시 공격 데이터(익스플로잇 페이로드): 데이터 무결성을 보장하려면 텍스트 형식의 보고서가 필요합니다. 취약성 평가는 네트워크 페이로드가 이미지에만 제공되었을 때 QNAP PSIRT의 기대에 미치지 못할 수 있습니다.

FAQ

이 보상은 취약성을 성공적으로 이용할 때의 복잡성, 잠재적 노출, 영향을 받는 사용자 및 시스템의 비율에 따라 결정됩니다.

비디오를 통해 취약성이 악용되는 방식을 보다 쉽게 이해할 수 있다면 QNAP 시상위원회는 결과적으로 보상을 늘릴 수 있다. 서면 설명서(예: 제품 정보, 취약성 요약 및 복제 단계)는 취약성 공개 프로세스를 관리하는 데 도움이 되므로 반드시 제공해야 합니다.

취약성 보고서에는 취약성이 있는 제품 이름, 버전 및 빌드 번호 또는 클라우드 서비스의 URL 위치와 같은 정보가 적어도 포함되어야 합니다. 또한 이 취약성으로 인해 발생할 수 있는 잠재적 위협에 대한 요약과 명확하게 세부적인 복제 단계를 제공해야 합니다. 또한 보고서에는 취약성을 보여주는 비디오가 함께 제공될 수 있습니다.

QNAP에서 제공하는 PGP 키를 사용하여 보고서를 암호화한 후 security@qnap.com으로 전송하십시오. 시스템은 자동으로 기술 지원 번호로 응답하며, 이 번호를 사용하여 검토 진행 상황을 문의할 수 있습니다. QNAP PSIRT 팀은 제출된 정보의 완전성을 검증하기 위해 연구원과 사전 접촉합니다. 필요한 정보가 모두 제공된 경우, 연구원은 1주일 이내에 QNAP PSIRT 취약성 확인서를 받게 됩니다. 통지 메시지에는 보고된 보안 문제에 대해 할당된 CVE ID가 포함됩니다. 수상 제안서는 취약성 확인서 발송일로부터 4주 후 이메일로 통보됩니다. 연구원이 동의하면 QNAP은 확인 응답을 받은 후 12주 후에 지급할 것으로 예상됩니다.

QNAP 뉴스레터를 구독하여 최신 제품 보안 뉴스를 받으십시오

구독하기 보안 공지에 대한 심층 분석

사양 선택

      더 보기 적게 보기

      다른 국가/지역 사이트:

      open menu
      back to top