Search

Belöningsprogram för säkerhet

QNAP har ett kompromisslöst åtagande inom informationssäkerhet och har partnerskap i säkerhetsforskningssamfundet för att identifiera och korrigera säkerhetsrisker för att skydda våra användare, produkter och internet. QNAP tackar dem som bidrar genom vårt belöningsprogram för säkerhet.

Programmets omfattning

Vårt belöningsprogram för säkerhet gäller endast säkerhetsrisker i QNAP:s produkter och tjänster. Säkerhetsrisker utanför det här programmets omfattning är inte berättigade till belöningar, med undantag för rapporter om viktiga säkerhetsrisker utanför omfattningen beroende på situationen.

  • Operativsystem

    Inkluderar QTS, QuTS hero och QuTScloud

    Läs mer

  • Program

    Inkluderar program utvecklade av QNAP

    Läs mer

  • Molntjänster

    Inkluderar molntjänster tillhandahållna av QNAP

    Läs mer

Hur rapporterar jag säkerhetsrisken och får belöningen?

Kryptera e-postmeddelandet med den offentliga PGP-krypteringsnyckeln nedan och skicka det till security@qnap.com. Vi kontaktar dig så snart som möjligt.

Föreslaget format för säkerhetsriskrapporter

PGP krypteringsnyckel

Kopiera PGP krypteringsnyckel
Rapportera säkerhetsrisk

Krav för belöning

  • Du måste vara den första som rapporterar säkerhetsriskerna.

  • Du får inte ha delat filer och/eller information om säkerhetsrisken offentligt. Det här inkluderar uppladdningar till offentligt tillgängliga webbplatser.

  • QNAP:s PSIRT-team måste bekräfta att den rapporterade säkerhetsrisken är ett verifierbart replikerbart och giltigt säkerhetsproblem.

  • Du måste godkänna alla villkor i belöningsprogrammet för säkerhet.

Belöningen kan höjas grundat på:

  • Formatintegritet: Följ formatexemplen och ge detaljerad information när du anmäler säkerhetsrisker i operativsystem, program eller molntjänster. Formatexempel: Operativsystem, program, molntjänster.

  • Steg att reproducera: Beskriv stegen för att reproducera säkerhetsriskerna.

  • Problembeskrivningar: Beskriv din felsökning och tillvägagångssätt tydligt och kortfattat.

  • Övrig relevant information: Inkludera testkod, skript och annat som behövs till din förklaring.

  • Angreppens rådata (kryphålets nyttolast): En rapport i textformat krävs för att säkerställa dataintegriteten. Sårbarhetsbedömningen motsvarar inte QNAP PSIRT:s förväntningar när nätverksnyttolaster endast tillhandahålls som bilder.

Vanliga frågor och svar

Belöningen bestäms av svårigheten att framgångsrikt utnyttja säkerhetsrisken, den möjliga exponeringen och procentandel påverkade användare och system.

Om videor gör det lättare för oss att förstå hur säkerhetsrisken utnyttjas kan QNAP:s belöningskommitté på grund av detta öka belöningen. Observera att du fortfarande måste tillhandahålla skriftlig dokumentation (t.ex. produktinformation, sammanfattning av säkerhetsrisken och steg för att återskapa) eftersom det gör det enklare att avslöja säkerhetsrisken.

En säkerhetsriskrapport måste åtminstone innehålla följande information: Produktnamn, version och versionsnummer där säkerhetsrisken finns eller molntjänsternas webbadress.
Den måste även innehålla en sammanfattning av de potentiella hoten som säkerhetsrisken innebär, tillsammans med tydliga och detaljerade steg för att återskapa den. Rapporten kan även åtföljas av en video som demonstrerar säkerhetsrisken.

Kryptera meddelandet med PGP-nyckeln som QNAP tillhandahåller och skicka det till security@qnap.com. Systemet svarar automatiskt med ett tekniskt supportnummer, som du använder för att fråga om granskningens förlopp. QNAP:s PSIRT-team kontaktar dig för att verifiera att den inskickade informationen är fullständig. Om all nödvändig information har tillhandahållits får du ett brev från QNAP PSIRT inom en vecka som bekräftar säkerhetsrisken. Brevet innehåller det anmälda säkerhetsproblemets tilldelade CVE-ID. Förslag på belöningsbelopp meddelas per e-post fyra veckor efter bekräftelsebrevets datum. Om du samtycker förväntas QNAP utföra betalningen 12 veckor efter mottagande av samtycke.

Prenumerera på QNAP eNews för att få de senaste produktsäkerhetsnyheterna

Prenumerera nu En djupdykning ned i Security Advisory

Välj specifikation

      Visa fler Färre

      Denna webbplats i andra länder/regioner:

      open menu
      back to top