Program Security Bounty

Firma QNAP bezkompromisowo angażuje się w sprawy bezpieczeństwa informacji i współpracuje ze społecznością zajmującą się badaniami w zakresie bezpieczeństwa w celu identyfikacji i usuwania luk w zabezpieczeniach, aby zapewnić bezpieczeństwo naszych użytkowników, produktów i Internetu. Aby podziękować tym, którzy wnieśli swój wkład, firma QNAP wręcza nagrody w ramach naszego programu Security Bounty.

Zakres programu

Nasz program Security Bounty obejmuje wyłącznie luki w zabezpieczeniach produktów i usług QNAP. Błędy wykraczające poza ten zakres nie będą kwalifikowały się do nagrody, z wyjątkami zgłoszeń krytycznych błędów wykraczających poza ten zakres, w zależności od sytuacji.

Systemy operacyjne

W tym system QTS, QuTS hero, QuTScloud

Więcej informacji
Aplikacje

W tym aplikacje zaprojektowane przez firmę QNAP

Więcej informacji
Usługi chmurowe

W tym usługi chmurowe zapewniane przez firmę QNAP

Więcej informacji

Jak zgłosić lukę w zabezpieczeniach i otrzymać nagrodę?

Zaszyfruj swoją wiadomość e-mail poniższym kluczem publicznym PGP i wyślij ją na adres security@qnap.com. Odpowiemy jak tylko będzie to możliwe.

Sugerowany format raportu dotyczącego luk

Systemy operacyjne

przykład formatu
Aplikacje

przykład formatu
Usługi chmurowe

przykład formatu

Klucz szyfrowania PGP

Skopiuj klucz szyfrowania PGP

Zgłoś luki w zabezpieczeniach

Kryteria kwalifikacji do zdobycia nagrody

Zgłaszane luki w zabezpieczeniach nie mogły być zgłoszone już wcześniej.
Użytkownik nie może publicznie udostępniać żadnych plików i/lub szczegółów związanych ze zgłaszaną luką. Dotyczy to również przesyłania plików do wszelkich publicznie dostępnych witryn internetowych.
Zespół QNAP PSIRT potwierdzi, że zgłoszona luka jest weryfikowalna, możliwa do odtworzenia i stanowi istotny problem bezpieczeństwa.
Użytkownik zgadza się na wszystkie warunki programu Security Bounty.

Wartość nagrody może być zwiększona w oparciu o:

Integralność formatów: Podczas zgłaszania luk w systemach operacyjnych, aplikacjach lub usługach chmurowych należy zachować zgodność z przykładowymi formatami i podawać szczegółowe informacje. Przykładowe formaty: Systemy operacyjne, Aplikacje, Usługi chmurowe.
Kroki do odtworzenia: Przedstaw czynności wykonywane w celu odtworzenia luk.
Opisy problemów: Jasno i zwięźle przedstaw swoje rozwiązania i metodę rozwiązania problemu.
Inne przydatne informacje: Dołącz kod testowy, skrypty i wszystko, co jest wymagane do wyjaśnienia.
Dane Raw dotyczące ataków (obciążenie exploitami): W celu zapewnienia integralności danych wymagany jest raport tekstowy. Jeśli obciążenia sieci zostały przedstawione tylko w postaci obrazów, oceny luk mogą nie spełnić wymogów QNAP PSIRT.

Często zadawane pytania

Na jakiej podstawie określa się wysokość nagrody Bounty?

Wysokość nagrody jest określana na podstawie złożoności skutecznego wykorzystania luki, potencjalnego narażenia na atak oraz odsetka użytkowników i systemów, których ona dotyczy.

Jak przesłać wideo stanowiące weryfikację koncepcji?

Jeśli filmy wideo ułatwią nam zrozumienie, w jaki sposób wykorzystywane są luki w zabezpieczeniach, komisja ds. nagród QNAP może w rezultacie zwiększyć wartość nagrody. Należy pamiętać, że mimo to należy dostarczyć pisemną dokumentację (np. informacje o produkcie, podsumowanie informacji o luce i kroki do odtworzenia), ponieważ pomoże to w zarządzaniu procesem ujawniania luki.

Jakie informacje musi uwzględniać raport dotyczący luk?

Raport o luce musi zawierać co najmniej poniższe informacje: nazwę produktu, wersję i numer kompilacji, w której występuje luka, lub lokalizację adresu URL dla usług w chmurze.
Powinien również zawierać podsumowanie potencjalnych zagrożeń stwarzanych przez lukę, wraz z jasno określonymi krokami replikacji. Dodatkowo, do raportu może być dołączony film przedstawiający lukę w zabezpieczeniach.

Jak dowiedzieć się, czy moje zgłoszenie dotarło do firmy QNAP?

Przy użyciu Klucza PGP zapewnionego przez firmę QNAP zaszyfruj raport i wyślij go na adres security@qnap.com. System automatycznie poda numer zgłoszenia pomocy technicznej, przy użyciu którego można zapytać o postęp weryfikacji. Zespół PSIRT firmy QNAP będzie proaktywnie kontaktował się z użytkownikiem, który wykrył lukę, w celu weryfikacji integralności przesłanych informacji. Jeśli wszystkie wymagane informacje zostały podane użytkownik, który wykrył lukę, w ciągu tygodnia otrzyma list potwierdzający podatność na ataki QNAP PSIRT. List będzie zawierał przypisany identyfikator CVE dla zgłoszonego błędu bezpieczeństwa. Propozycja nagrody zostanie przekazana pocztą elektroniczną cztery tygodnie po dacie listu potwierdzającego podatność. Jeśli użytkownik, który wykrył lukę, wyrazi zgodę, firma QNAP dokona płatności 12 tygodni po otrzymaniu odpowiedzi potwierdzającej.

Subskrybuj QNAP eNews, aby otrzymywać najnowsze informacje na temat bezpieczeństwa produktów

Subskrybuj teraz Dogłębne zapoznanie się z poradami dotyczącymi bezpieczeństwa

Systemy operacyjne

Nagrody w wysokości do 20.000 USD

Nagroda	Potwierdzone i ocenione raporty dotyczące luk w zabezpieczeniach mogą zostać nagrodzone kwotą do 20.000 USD
Oferowane produkty	Przyjmowane są wyłącznie zgłoszenia dotyczące oficjalnie wydanych i najnowszych wersji produktów, aplikacji i usług. QTS 5.2.0 (i nowsza wersja) QuTS hero h5.2.0 (i nowsza wersja) QuTScloud c5.1.0 (i nowsza wersja)
Ograniczenia	Program Security Bounty dotyczy wyłącznie luk w zabezpieczeniach produktów i usług firmy QNAP. Zabronione są działania, które mogą potencjalnie uszkodzić lub negatywnie wpłynąć na serwery QNAP lub dane. Testowanie podatności na zagrożenia nie może naruszać lokalnych lub tajwańskich przepisów prawa. Raporty dotyczące podatności na zagrożenia nie są akceptowane, jeśli opisują lub obejmują: Ataki DoS (ang. Denial of Service) na serwery QNAP lub serwery użytkowników. Testy podatności na zagrożenia, które mogą uszkodzić serwery QNAP lub serwery użytkowników. Ataki fizyczne lub socjotechniki. Ujawnianie luk w zabezpieczeniach przed zatwierdzeniem przez QNAP. Luki o charakterze niekrytycznym w przestarzałych usługach lub produktach. Luki występujące tylko w przestarzałych przeglądarkach internetowych. Większość typów ataków typu brute force. Luki w zabezpieczeniach związane z wyłudzaniem informacji, tworzeniem fałszywych witryn lub nieuczciwym zachowaniem. Raporty ze skanowania pod kątem luk w zabezpieczeniach, które nie zawierają szczegółowych informacji na temat wpływu luk. Raporty o ujawnionych/nieujawnionych błędach w oprogramowaniu typu open-source. Luki w domenach rejestracji użytkowników (na przykład: poddomeny myqnapcloud.com)

Nagroda

Potwierdzone i ocenione raporty dotyczące luk w zabezpieczeniach mogą zostać nagrodzone kwotą do 20.000 USD

Oferowane produkty

Przyjmowane są wyłącznie zgłoszenia dotyczące oficjalnie wydanych i najnowszych wersji produktów, aplikacji i usług.

QTS 5.2.0 (i nowsza wersja)
QuTS hero h5.2.0 (i nowsza wersja)
QuTScloud c5.1.0 (i nowsza wersja)

Ograniczenia

Program Security Bounty dotyczy wyłącznie luk w zabezpieczeniach produktów i usług firmy QNAP. Zabronione są działania, które mogą potencjalnie uszkodzić lub negatywnie wpłynąć na serwery QNAP lub dane. Testowanie podatności na zagrożenia nie może naruszać lokalnych lub tajwańskich przepisów prawa.

Raporty dotyczące podatności na zagrożenia nie są akceptowane, jeśli opisują lub obejmują:

Ataki DoS (ang. Denial of Service) na serwery QNAP lub serwery użytkowników.
Testy podatności na zagrożenia, które mogą uszkodzić serwery QNAP lub serwery użytkowników.
Ataki fizyczne lub socjotechniki.
Ujawnianie luk w zabezpieczeniach przed zatwierdzeniem przez QNAP.
Luki o charakterze niekrytycznym w przestarzałych usługach lub produktach.
Luki występujące tylko w przestarzałych przeglądarkach internetowych.
Większość typów ataków typu brute force.
Luki w zabezpieczeniach związane z wyłudzaniem informacji, tworzeniem fałszywych witryn lub nieuczciwym zachowaniem.
Raporty ze skanowania pod kątem luk w zabezpieczeniach, które nie zawierają szczegółowych informacji na temat wpływu luk.
Raporty o ujawnionych/nieujawnionych błędach w oprogramowaniu typu open-source.
Luki w domenach rejestracji użytkowników (na przykład: poddomeny myqnapcloud.com)

Aplikacje

Nagrody w wysokości do 10.000 USD

Nagroda	Potwierdzone i ocenione raporty dotyczące luk w zabezpieczeniach mogą zostać nagrodzone kwotą do 10.000 USD
Oferowane produkty	Przyjmowane są wyłącznie zgłoszenia dotyczące oficjalnie wydanych i najnowszych wersji produktów, aplikacji i usług. W programie tym akceptowane są tylko zgłoszenia dotyczące luk w zabezpieczeniach wyłącznie w następujących aplikacjach: Helpdesk License Center Malware Remover myQNAPcloud Link Sieć i przełącznik wirtualny Centrum powiadomień Certyfikat SSL QTS QuLog Center Monitor zasobów Qsync Central HBS 3 Hybrid Backup Sync Qboost Mulitimedia Console Dodatek Media Streaming Usługa QVPN Service Virtualization Station Container Station QuFirewall Download Station Video Station Photo Station QuMagie
Ograniczenia	Program Security Bounty dotyczy wyłącznie luk w zabezpieczeniach produktów i usług firmy QNAP. Zabronione są działania, które mogą potencjalnie uszkodzić lub negatywnie wpłynąć na serwery QNAP lub dane. Testowanie podatności na zagrożenia nie może naruszać lokalnych lub tajwańskich przepisów prawa. Raporty dotyczące podatności na zagrożenia nie są akceptowane, jeśli opisują lub obejmują: Ataki DoS (ang. Denial of Service) na serwery QNAP lub serwery użytkowników. Testy podatności na zagrożenia, które mogą uszkodzić serwery QNAP lub serwery użytkowników. Ataki fizyczne lub socjotechniki. Ujawnianie luk w zabezpieczeniach przed zatwierdzeniem przez QNAP. Luki o charakterze niekrytycznym w przestarzałych usługach lub produktach. Luki występujące tylko w przestarzałych przeglądarkach internetowych. Większość typów ataków typu brute force. Luki w zabezpieczeniach związane z wyłudzaniem informacji, tworzeniem fałszywych witryn lub nieuczciwym zachowaniem. Raporty ze skanowania pod kątem luk w zabezpieczeniach, które nie zawierają szczegółowych informacji na temat wpływu luk. Raporty o ujawnionych/nieujawnionych błędach w oprogramowaniu typu open-source. Luki w domenach rejestracji użytkowników (na przykład: poddomeny myqnapcloud.com)

Nagroda

Potwierdzone i ocenione raporty dotyczące luk w zabezpieczeniach mogą zostać nagrodzone kwotą do 10.000 USD

Oferowane produkty

Przyjmowane są wyłącznie zgłoszenia dotyczące oficjalnie wydanych i najnowszych wersji produktów, aplikacji i usług.

W programie tym akceptowane są tylko zgłoszenia dotyczące luk w zabezpieczeniach wyłącznie w następujących aplikacjach:

Helpdesk
License Center
Malware Remover
myQNAPcloud Link
Sieć i przełącznik wirtualny
Centrum powiadomień
Certyfikat SSL QTS
QuLog Center
Monitor zasobów
Qsync Central
HBS 3 Hybrid Backup Sync
Qboost
Mulitimedia Console
Dodatek Media Streaming
Usługa QVPN Service
Virtualization Station
Container Station
QuFirewall
Download Station
Video Station
Photo Station
QuMagie

Ograniczenia

Raporty dotyczące podatności na zagrożenia nie są akceptowane, jeśli opisują lub obejmują:

Ataki DoS (ang. Denial of Service) na serwery QNAP lub serwery użytkowników.
Testy podatności na zagrożenia, które mogą uszkodzić serwery QNAP lub serwery użytkowników.
Ataki fizyczne lub socjotechniki.
Ujawnianie luk w zabezpieczeniach przed zatwierdzeniem przez QNAP.
Luki o charakterze niekrytycznym w przestarzałych usługach lub produktach.
Luki występujące tylko w przestarzałych przeglądarkach internetowych.
Większość typów ataków typu brute force.
Luki w zabezpieczeniach związane z wyłudzaniem informacji, tworzeniem fałszywych witryn lub nieuczciwym zachowaniem.
Raporty ze skanowania pod kątem luk w zabezpieczeniach, które nie zawierają szczegółowych informacji na temat wpływu luk.
Raporty o ujawnionych/nieujawnionych błędach w oprogramowaniu typu open-source.
Luki w domenach rejestracji użytkowników (na przykład: poddomeny myqnapcloud.com)

Usługi chmurowe

Nagrody w wysokości do 5.000 USD

Nagroda	Potwierdzone i ocenione raporty dotyczące luk w zabezpieczeniach mogą zostać nagrodzone kwotą do 5.000 USD
Oferowane produkty	Przyjmowane są wyłącznie zgłoszenia dotyczące oficjalnie wydanych i najnowszych wersji produktów, aplikacji i usług. W programie tym akceptowane są tylko zgłoszenia dotyczące luk w zabezpieczeniach wyłącznie w następujących domenach: www.myqnapcloud.com (bez poddomen rejestracji użytkownika) organization.qnap.com (w tym poddomeny) amizcloud.qnap.com (w tym poddomeny) license.qnap.com (w tym poddomeny) www.qmiix.com (w tym poddomeny) account.qnap.com (w tym poddomeny) quwan.qnap.com (w tym poddomeny)
Ograniczenia	Program Security Bounty dotyczy wyłącznie luk w zabezpieczeniach produktów i usług firmy QNAP. Zabronione są działania, które mogą potencjalnie uszkodzić lub negatywnie wpłynąć na serwery QNAP lub dane. Testowanie podatności na zagrożenia nie może naruszać lokalnych lub tajwańskich przepisów prawa. Raporty dotyczące podatności na zagrożenia nie są akceptowane, jeśli opisują lub obejmują: Ataki DoS (ang. Denial of Service) na serwery QNAP lub serwery użytkowników. Testy podatności na zagrożenia, które mogą uszkodzić serwery QNAP lub serwery użytkowników. Ataki fizyczne lub socjotechniki. Ujawnianie luk w zabezpieczeniach przed zatwierdzeniem przez QNAP. Luki o charakterze niekrytycznym w przestarzałych usługach lub produktach. Luki występujące tylko w przestarzałych przeglądarkach internetowych. Większość typów ataków typu brute force. Luki w zabezpieczeniach związane z wyłudzaniem informacji, tworzeniem fałszywych witryn lub nieuczciwym zachowaniem. Raporty ze skanowania pod kątem luk w zabezpieczeniach, które nie zawierają szczegółowych informacji na temat wpływu luk. Raporty o ujawnionych/nieujawnionych błędach w oprogramowaniu typu open-source. Luki w domenach rejestracji użytkowników (na przykład: poddomeny myqnapcloud.com)

Nagroda

Potwierdzone i ocenione raporty dotyczące luk w zabezpieczeniach mogą zostać nagrodzone kwotą do 5.000 USD

Oferowane produkty

Przyjmowane są wyłącznie zgłoszenia dotyczące oficjalnie wydanych i najnowszych wersji produktów, aplikacji i usług.

W programie tym akceptowane są tylko zgłoszenia dotyczące luk w zabezpieczeniach wyłącznie w następujących domenach:

www.myqnapcloud.com (bez poddomen rejestracji użytkownika)
organization.qnap.com (w tym poddomeny)
amizcloud.qnap.com (w tym poddomeny)
license.qnap.com (w tym poddomeny)
www.qmiix.com (w tym poddomeny)
account.qnap.com (w tym poddomeny)
quwan.qnap.com (w tym poddomeny)

Ograniczenia

Raporty dotyczące podatności na zagrożenia nie są akceptowane, jeśli opisują lub obejmują:

Ataki DoS (ang. Denial of Service) na serwery QNAP lub serwery użytkowników.
Testy podatności na zagrożenia, które mogą uszkodzić serwery QNAP lub serwery użytkowników.
Ataki fizyczne lub socjotechniki.
Ujawnianie luk w zabezpieczeniach przed zatwierdzeniem przez QNAP.
Luki o charakterze niekrytycznym w przestarzałych usługach lub produktach.
Luki występujące tylko w przestarzałych przeglądarkach internetowych.
Większość typów ataków typu brute force.
Luki w zabezpieczeniach związane z wyłudzaniem informacji, tworzeniem fałszywych witryn lub nieuczciwym zachowaniem.
Raporty ze skanowania pod kątem luk w zabezpieczeniach, które nie zawierają szczegółowych informacji na temat wpływu luk.
Raporty o ujawnionych/nieujawnionych błędach w oprogramowaniu typu open-source.
Luki w domenach rejestracji użytkowników (na przykład: poddomeny myqnapcloud.com)

Pamięć masowa

Łączność sieciowa

Akcesoria do rozbudowy

Monitoring

NAS

Łączność sieciowa

Monitoring

Zakres programu

Systemy operacyjne

Aplikacje

Usługi chmurowe

Jak zgłosić lukę w zabezpieczeniach i otrzymać nagrodę?

Sugerowany format raportu dotyczącego luk

Systemy operacyjne

Aplikacje

Usługi chmurowe

Klucz szyfrowania PGP

Kryteria kwalifikacji do zdobycia nagrody

Wartość nagrody może być zwiększona w oparciu o:

Często zadawane pytania