Rapportera säkerhetsrisker hos QNAP-produkter
Vi uppmuntrar utvecklare och privilegierade användare att rapportera alla möjliga eller bekräftade säkerhetsrisker hos QNAP-produkter till säkerhetsberedskapsteamet. Var vänlig använd nedanstående publika PGP-krypteringsnyckel för att kryptera ditt e-postmeddelande och skicka det till security@qnap.com.
Publik PGP-krypteringsnyckel
Vi rekommenderar att nedanstående publika PGP-krypteringsnyckel används för att kryptera ditt e-postmeddelande för att rapportera säkerhetsrisker till QNAP.
Vanliga frågor
- När du hittar säkerhetsrisker hos QNAP-produkter.
- När du vill få teknisk hjälp (till exempel med att konfigurera NAS, systemuppdateringar och RMA-begäran)
- För rapportering av sårbarheter som redan är allmänt kända (exempelvis sårbarheter som redan finns uppräknade i säkerhetsråden)
- När du vill ha teknisk hjälp för att installera korrigeringar som getts ut för att åtgärda säkerhetsrisker
- För rapportering av sårbarheter eller produkter från andra leverantörer eller för att be om information om sårbarheter från andra leverantörer
- För rapportering av sårbarheter som hittats på andra webbplatser än qnap.com
- När du vill ha råd om problem som inte avser produktsäkerhet
- För rapportering av skadlig kod som hittats på mobila enheter
När det handlar om ovanstående förhållanden ska du kontakta tekniska supportteamet hos QNAP. Det tekniska supportteamet återfinns på http://helpdesk.qnap.com/. Om det tekniska supportteamet anser att det behövs vidarebefordras ärendet till säkerhetsberedskapsteamet.
- För att informera oss om säkerhetsrisker hos QNAP-produkter, var vänlig inkludera så mycket information som möjligt, som exempelvis modellnamn på hårdvara, version på QTS/QES, namn och version på appar där det finns sårbarheter, en beskrivning av sårbarheterna och fullständiga steg för att återskapa sårbarheten. När QNAP kontaktas är rekommendationen att använda den publika PGP-krypteringsnyckel som tillhandahålls på den här sidan för att säkerställa integritet och sekretess för e-postmeddelandet.
- QNAP Product Security Incident Response Team analyserar och undersöker mottagen information noggrant. Vi bekräftar att vi har mottagit din rapport inom tre (3) arbetsdagar efter vilket vi börjar undersöka och bekräfta problemet som du rapporterade. När rapporten har granskats och bekräftats av QNAP, publicerar QNAP sedan en korrigering (Qfix) eller vid behov en uppdaterad version av den relevanta programvaran. Korrigeringen och den uppdaterade versionen publiceras vanligen inom nittio (90) dagar efter att du lämnade in rapporten. Ytterligare tid kan krävas beroende på problemets komplexitet. Vi publicerar även en motsvarande Security Advisory (Säkerhetsråd). Vi vidarebefordrar aldrig e-postkorrespondens eller din e-postadress till tredje part. Vi begär och avslöjar inte personuppgifter som gör det möjligt att identifiera dig, ditt arbete, datorer eller konfigurationer som du använde.
För att minska möjligheten att användare angrips genom cyberbrott meddelar QNAP inte i förväg eventuella befintliga säkerhetsrisker innan korrigeringar eller säkerhetsråd utfärdas. Följ QNAP:s rekommendationer för att säkerställa nätverkssäkerheten i QNAP-produkterna som du använder. Skaffa säkerhetskorrigeringar och säkerhetsråd för QNAP-tjänsterna du använder från QNAP:s webbplats och uppdatera programvaran regelbundet och i god tid. QNAP rekommenderar även att du prenumererar på säkerhetsråden för att få de senaste produktsäkerhetsnyheterna.
För att skydda våra kunder avslöjar, diskuterar eller bekräftar inte QNAP säkerhetsproblem förrän en utredning har utförts och patchar eller releaser är allmänt tillgängliga.
