Security Bounty Programı

QNAP, bilgi güvenliğinden asla taviz vermeyeceğini taahhüt eder ve kullanıcılarımızı, ürünlerimizi ve interneti daha güvenli tutmak için güvenlik açıklarını belirlemek ve düzeltmek adına güvenlik araştırma topluluğu ile ortaklık kurmuştur. QNAP, katkıda bulunanlara teşekkür etmek amacıyla güvenlik ödül programımız ile ödül vermektedir.

Programın Kapsamı

Güvenlik ödül programımız, yalnızca QNAP ürün ve hizmetlerindeki güvenlik açıklarını kabul eder. Duruma bağlı olarak kritik güvenlik açıklarına dair kapsam dışı raporlar için yapılan istisnalar dışında kapsam dışı güvenlik açıkları ödüle uygun olmayacaktır.

İşletim Sistemleri

QTS, QuTS hero, QuTScloud dahildir

Daha fazla bilgi
Uygulamalar

QNAP tarafından geliştirilen uygulamalar dahildir

Daha fazla bilgi
Bulut Hizmetleri

QNAP tarafından sağlanan bulut hizmetleri dahildir

Daha fazla bilgi

Güvenlik açığı nasıl bildirilir ve nasıl ödül alınır?

E-postanızı şifrelemek ve security@qnap.com adresine göndermek için aşağıdaki PGP genel şifreleme anahtarını kullanın. En kısa sürede sizinle iletişime geçeceğiz.

Güvenlik Açığı Raporunda Önerilen Format

İşletim Sistemleri

format örneği
Uygulamalar

format örneği
Bulut Hizmetleri

format örneği

PGP şifreleme anahtarı

PGP şifreleme anahtarını kopyala

Güvenlik Açığı Bildir

Ödül Şartları

Güvenlik açıklarını bildiren ilk araştırmacı olmalısınız.
Güvenlik açığıyla ilgili herhangi bir dosyayı ve/veya ayrıntıyı herkese açık olarak paylaşmamış olmalısınız. Bu, herkese açık web sitelerine yapılan yüklemeleri içerir.
Bildirilen güvenlik açığının doğrulanabilir, tekrarlanabilir ve geçerli bir güvenlik sorunu olduğu QNAP PSIRT ekibi tarafından onaylanmış olmalıdır.
Güvenlik ödülü programının tüm şartlarını ve koşullarını kabul etmiş olmalısınız

Ödül aşağıdakilere göre artırılabilir:

Format Bütünlüğü: İşletim sistemleri, uygulamalar veya bulut hizmetlerindeki güvenlik açıklarını bildirirken format örneklerine uyun ve ayrıntılı bilgi verin. Format örnekleri: İşletim Sistemleri, Uygulamalar, Bulut Hizmetleri.
Yapılacak Adımlar: Güvenlik açıklarını yeniden oluşturmak için uyguladığınız adımları gösterin.
Sorun Açıklamaları: Sorun giderme ve yaklaşımınızı açık ve kısa bir şekilde sunun.
Diğer Destekleyici Bilgiler: Test kodunu, komut dosyalarını ve açıklamanız için gereken diğer her şeyi ekleyin.
Saldırıların Ham Verileri (faydalanma yükü): Veri bütünlüğünü sağlamak için metin biçiminde bir rapor gerekir. Güvenlik açığı değerlendirmeleri, ağ yükleri yalnızca görüntü olarak sağlandığında QNAP PSIRT'in beklentilerinin altında kalabilir.

FAQ

Ödül nasıl belirlenir?

Ödül, güvenlik açığından başarıyla yararlanmanın karmaşıklığı, potansiyel maruz kalma ve etkilenen kullanıcı ve sistemlerin yüzdesi ile belirlenir.

Videolu kanıt gönderebilir miyim?

Videolar güvenlik açığından nasıl yararlanıldığını anlamamızı kolaylaştırabilirse QNAP ödül komitesi bunun sonucunda ödülü artırabilir. Güvenlik açığı ifşa sürecinin yönetilmesine yardımcı olduğundan yazılı belgelerin (ör., ürün bilgileri, güvenlik açığı özeti ve uygulanacak adımlar) yine de sağlanması gerektiğini lütfen unutmayın.

Güvenlik açığı raporuna hangi bilgiler dahil edilmelidir?

Güvenlik açığı raporuna en azından şu bilgiler dahil edilmelidir: güvenlik açığının bulunduğu ürünün adı, sürüm ve model numarası veya bulut hizmetleri için URL konumu. Açık bir şekilde ayrıntılarıyla birlikte uygulanacak adımlar ile güvenlik açığının oluşturduğu potansiyel tehditlerin bir özeti de sunulmalıdır. Ek olarak rapora güvenlik açığını gösteren bir video eşlik edebilir.

Gönderdiklerimin QNAP tarafından alındığını nereden bileceğim?

Lütfen raporu şifrelemek için QNAP tarafından sağlanan PGP Anahtarını kullanın ve security@qnap.com adresine gönderin. Sistem, incelemenin ilerleme durumu hakkında bilgi almak için kullanabileceğiniz bir teknik destek numarasıyla otomatik olarak yanıt verecektir. QNAP PSIRT ekibi, gönderilen bilgilerin eksiksiz olduğunu doğrulamak için proaktif olarak araştırmacıyla iletişime geçecektir. Gerekli tüm bilgiler sağlanmışsa bir hafta içinde araştırmacı bir QNAP PSIRT güvenlik açığı onay yazısı alacaktır. Bu yazı, bildirilen güvenlik sorunu için atanan CVE kimliğini içerecektir. Ödül teklifi, güvenlik açığı onay yazısı tarihinden dört hafta sonra e-posta yoluyla bildirilecektir. Araştırmacı kabul ederse onay yazısı alındıktan 12 hafta sonra QNAP’in ödemeyi yapması beklenmektedir.

Ürün güvenliğiyle ilgili en yeni haberleri almak için QNAP eNews’e abone olun

Şimdi abone olun Güvenlik Danışmanlığına Derinlemesine Bir Bakış

İşletim Sistemleri

20.000$’a’a varan ödüller

Ödül	Teyit edilmiş ve değerlendirilmiş güvenlik açığı raporları 20.000$’a varan ödül alabilir
Kapsam dahilindeki ürünler	Ürünlerin, uygulamaların ve hizmetlerin yalnızca resmi olarak yayınlanan ve en son sürümleriyle ilgili raporlar kabul edilir. QTS 5.2.0 (ve daha sonrası) QuTS hero h5.2.0 (ve daha sonrası) QuTScloud c5.1.0 (ve daha sonrası)
Kısıtlamalar	Güvenlik ödül programı, sadece QNAP ürün ve hizmetlerinde bulunan güvenlik açıklarıyla sınırlıdır. QNAP sunucularına veya verilerine potansiyel olarak zarar verebilecek veya bunları zararlı şekilde etkileyebilecek eylemler yasaktır. Herhangi bir güvenlik açığı testi, yerel yasaları veya Tayvan yasalarını ihlal etmemelidir. Güvenlik açığı raporları aşağıdakileri tanımlıyor veya içeriyorsa kabul edilmez: QNAP veya kullanıcı sunucularında DoS (Hizmet Reddi) saldırıları. QNAP sunucularına veya kullanıcı sunucularına zarar verebilecek güvenlik açığı testleri. Fiziksel saldırılar veya sosyal mühendislik. QNAP onayı olmadan güvenlik açıklarının ifşa edilmesi. Eski hizmetler veya ürünlerdeki kritik olmayan güvenlik açıkları. Sadece eski web tarayıcılarını etkileyen güvenlik açıkları. Çoğu deneme yanılma saldırısı türü. Kimlik avı, sahte bir web sitesi oluşturma veya dolandırıcılık içeren güvenlik açıkları. Güvenlik açıklarının etkisine ilişkin ayrıntıları içermeyen güvenlik açığı tarama raporları. Açık kaynaklı yazılımda açığa çıkan/açığa çıkmayan güvenlik açığı raporları. Kullanıcı kaydı alan adlarındaki güvenlik açıkları (örneğin: myqnapcloud.com alt alan adları)

Ödül

Teyit edilmiş ve değerlendirilmiş güvenlik açığı raporları 20.000$’a varan ödül alabilir

Kapsam dahilindeki ürünler

Ürünlerin, uygulamaların ve hizmetlerin yalnızca resmi olarak yayınlanan ve en son sürümleriyle ilgili raporlar kabul edilir.

QTS 5.2.0 (ve daha sonrası)
QuTS hero h5.2.0 (ve daha sonrası)
QuTScloud c5.1.0 (ve daha sonrası)

Kısıtlamalar

Güvenlik ödül programı, sadece QNAP ürün ve hizmetlerinde bulunan güvenlik açıklarıyla sınırlıdır. QNAP sunucularına veya verilerine potansiyel olarak zarar verebilecek veya bunları zararlı şekilde etkileyebilecek eylemler yasaktır. Herhangi bir güvenlik açığı testi, yerel yasaları veya Tayvan yasalarını ihlal etmemelidir.

Güvenlik açığı raporları aşağıdakileri tanımlıyor veya içeriyorsa kabul edilmez:

QNAP veya kullanıcı sunucularında DoS (Hizmet Reddi) saldırıları.
QNAP sunucularına veya kullanıcı sunucularına zarar verebilecek güvenlik açığı testleri.
Fiziksel saldırılar veya sosyal mühendislik.
QNAP onayı olmadan güvenlik açıklarının ifşa edilmesi.
Eski hizmetler veya ürünlerdeki kritik olmayan güvenlik açıkları.
Sadece eski web tarayıcılarını etkileyen güvenlik açıkları.
Çoğu deneme yanılma saldırısı türü.
Kimlik avı, sahte bir web sitesi oluşturma veya dolandırıcılık içeren güvenlik açıkları.
Güvenlik açıklarının etkisine ilişkin ayrıntıları içermeyen güvenlik açığı tarama raporları.
Açık kaynaklı yazılımda açığa çıkan/açığa çıkmayan güvenlik açığı raporları.
Kullanıcı kaydı alan adlarındaki güvenlik açıkları (örneğin: myqnapcloud.com alt alan adları)

Uygulamalar

10.000$’a’a varan ödüller

Ödül	Teyit edilmiş ve değerlendirilmiş güvenlik açığı raporları 10.000$’a varan ödül alabilir
Kapsam dahilindeki ürünler	Ürünlerin, uygulamaların ve hizmetlerin yalnızca resmi olarak yayınlanan ve en son sürümleriyle ilgili raporlar kabul edilir. Program sadece aşağıdaki uygulamalardaki güvenlik açıkları raporlarını kabul eder: Yardım Masası License Center Malware Remover myQNAPcloud Link Ağ ve Sanal Anahtar Bildirim Merkezi QTS SSL Sertifikası QuLog Center Kaynak Monitör Qsync Central HBS 3 Hybrid Backup Sync Qboost Mulitimedia Console Medya Akışı eklentisi QVPN Hizmeti Virtualization Station Container Station QuFirewall Download Station Video Station Photo Station QuMagie
Kısıtlamalar	Güvenlik ödül programı, sadece QNAP ürün ve hizmetlerinde bulunan güvenlik açıklarıyla sınırlıdır. QNAP sunucularına veya verilerine potansiyel olarak zarar verebilecek veya bunları zararlı şekilde etkileyebilecek eylemler yasaktır. Herhangi bir güvenlik açığı testi, yerel yasaları veya Tayvan yasalarını ihlal etmemelidir. Güvenlik açığı raporları aşağıdakileri tanımlıyor veya içeriyorsa kabul edilmez: QNAP veya kullanıcı sunucularında DoS (Hizmet Reddi) saldırıları. QNAP sunucularına veya kullanıcı sunucularına zarar verebilecek güvenlik açığı testleri. Fiziksel saldırılar veya sosyal mühendislik. QNAP onayı olmadan güvenlik açıklarının ifşa edilmesi. Eski hizmetler veya ürünlerdeki kritik olmayan güvenlik açıkları. Sadece eski web tarayıcılarını etkileyen güvenlik açıkları. Çoğu deneme yanılma saldırısı türü. Kimlik avı, sahte bir web sitesi oluşturma veya dolandırıcılık içeren güvenlik açıkları. Güvenlik açıklarının etkisine ilişkin ayrıntıları içermeyen güvenlik açığı tarama raporları. Açık kaynaklı yazılımda açığa çıkan/açığa çıkmayan güvenlik açığı raporları. Kullanıcı kaydı alan adlarındaki güvenlik açıkları (örneğin: myqnapcloud.com alt alan adları)

Ödül

Teyit edilmiş ve değerlendirilmiş güvenlik açığı raporları 10.000$’a varan ödül alabilir

Kapsam dahilindeki ürünler

Ürünlerin, uygulamaların ve hizmetlerin yalnızca resmi olarak yayınlanan ve en son sürümleriyle ilgili raporlar kabul edilir.

Program sadece aşağıdaki uygulamalardaki güvenlik açıkları raporlarını kabul eder:

Yardım Masası
License Center
Malware Remover
myQNAPcloud Link
Ağ ve Sanal Anahtar
Bildirim Merkezi
QTS SSL Sertifikası
QuLog Center
Kaynak Monitör
Qsync Central
HBS 3 Hybrid Backup Sync
Qboost
Mulitimedia Console
Medya Akışı eklentisi
QVPN Hizmeti
Virtualization Station
Container Station
QuFirewall
Download Station
Video Station
Photo Station
QuMagie

Kısıtlamalar

Güvenlik açığı raporları aşağıdakileri tanımlıyor veya içeriyorsa kabul edilmez:

QNAP veya kullanıcı sunucularında DoS (Hizmet Reddi) saldırıları.
QNAP sunucularına veya kullanıcı sunucularına zarar verebilecek güvenlik açığı testleri.
Fiziksel saldırılar veya sosyal mühendislik.
QNAP onayı olmadan güvenlik açıklarının ifşa edilmesi.
Eski hizmetler veya ürünlerdeki kritik olmayan güvenlik açıkları.
Sadece eski web tarayıcılarını etkileyen güvenlik açıkları.
Çoğu deneme yanılma saldırısı türü.
Kimlik avı, sahte bir web sitesi oluşturma veya dolandırıcılık içeren güvenlik açıkları.
Güvenlik açıklarının etkisine ilişkin ayrıntıları içermeyen güvenlik açığı tarama raporları.
Açık kaynaklı yazılımda açığa çıkan/açığa çıkmayan güvenlik açığı raporları.
Kullanıcı kaydı alan adlarındaki güvenlik açıkları (örneğin: myqnapcloud.com alt alan adları)

Bulut Hizmetleri

5.000$’a’a varan ödüller

Ödül	Teyit edilmiş ve değerlendirilmiş güvenlik açığı raporları 5.000$’a varan ödül alabilir
Kapsam dahilindeki ürünler	Ürünlerin, uygulamaların ve hizmetlerin yalnızca resmi olarak yayınlanan ve en son sürümleriyle ilgili raporlar kabul edilir. Program sadece aşağıdaki alan adlarındaki güvenlik açıkları raporlarını kabul eder: www.myqnapcloud.com (kullanıcı kaydı alt alan adları dahil değildir) organization.qnap.com (alt alan adları dahildir) amizcloud.qnap.com (alt alan adları dahildir) license.qnap.com (alt alan adları dahildir) www.qmiix.com (alt alan adları dahildir) account.qnap.com (alt alan adları dahildir) quwan.qnap.com (alt alan adları dahildir)
Kısıtlamalar	Güvenlik ödül programı, sadece QNAP ürün ve hizmetlerinde bulunan güvenlik açıklarıyla sınırlıdır. QNAP sunucularına veya verilerine potansiyel olarak zarar verebilecek veya bunları zararlı şekilde etkileyebilecek eylemler yasaktır. Herhangi bir güvenlik açığı testi, yerel yasaları veya Tayvan yasalarını ihlal etmemelidir. Güvenlik açığı raporları aşağıdakileri tanımlıyor veya içeriyorsa kabul edilmez: QNAP veya kullanıcı sunucularında DoS (Hizmet Reddi) saldırıları. QNAP sunucularına veya kullanıcı sunucularına zarar verebilecek güvenlik açığı testleri. Fiziksel saldırılar veya sosyal mühendislik. QNAP onayı olmadan güvenlik açıklarının ifşa edilmesi. Eski hizmetler veya ürünlerdeki kritik olmayan güvenlik açıkları. Sadece eski web tarayıcılarını etkileyen güvenlik açıkları. Çoğu deneme yanılma saldırısı türü. Kimlik avı, sahte bir web sitesi oluşturma veya dolandırıcılık içeren güvenlik açıkları. Güvenlik açıklarının etkisine ilişkin ayrıntıları içermeyen güvenlik açığı tarama raporları. Açık kaynaklı yazılımda açığa çıkan/açığa çıkmayan güvenlik açığı raporları. Kullanıcı kaydı alan adlarındaki güvenlik açıkları (örneğin: myqnapcloud.com alt alan adları)

Ödül

Teyit edilmiş ve değerlendirilmiş güvenlik açığı raporları 5.000$’a varan ödül alabilir

Kapsam dahilindeki ürünler

Ürünlerin, uygulamaların ve hizmetlerin yalnızca resmi olarak yayınlanan ve en son sürümleriyle ilgili raporlar kabul edilir.

Program sadece aşağıdaki alan adlarındaki güvenlik açıkları raporlarını kabul eder:

www.myqnapcloud.com (kullanıcı kaydı alt alan adları dahil değildir)
organization.qnap.com (alt alan adları dahildir)
amizcloud.qnap.com (alt alan adları dahildir)
license.qnap.com (alt alan adları dahildir)
www.qmiix.com (alt alan adları dahildir)
account.qnap.com (alt alan adları dahildir)
quwan.qnap.com (alt alan adları dahildir)

Kısıtlamalar

Güvenlik açığı raporları aşağıdakileri tanımlıyor veya içeriyorsa kabul edilmez:

QNAP veya kullanıcı sunucularında DoS (Hizmet Reddi) saldırıları.
QNAP sunucularına veya kullanıcı sunucularına zarar verebilecek güvenlik açığı testleri.
Fiziksel saldırılar veya sosyal mühendislik.
QNAP onayı olmadan güvenlik açıklarının ifşa edilmesi.
Eski hizmetler veya ürünlerdeki kritik olmayan güvenlik açıkları.
Sadece eski web tarayıcılarını etkileyen güvenlik açıkları.
Çoğu deneme yanılma saldırısı türü.
Kimlik avı, sahte bir web sitesi oluşturma veya dolandırıcılık içeren güvenlik açıkları.
Güvenlik açıklarının etkisine ilişkin ayrıntıları içermeyen güvenlik açığı tarama raporları.
Açık kaynaklı yazılımda açığa çıkan/açığa çıkmayan güvenlik açığı raporları.
Kullanıcı kaydı alan adlarındaki güvenlik açıkları (örneğin: myqnapcloud.com alt alan adları)

Depolama

Ağ Oluşturma

Genişletme Aksesuarları

Gözetim

NAS

Ağ Oluşturma

Gözetim

Programın Kapsamı

İşletim Sistemleri

Uygulamalar

Bulut Hizmetleri

Güvenlik açığı nasıl bildirilir ve nasıl ödül alınır?

Güvenlik Açığı Raporunda Önerilen Format

İşletim Sistemleri

Uygulamalar

Bulut Hizmetleri

PGP şifreleme anahtarı

Ödül Şartları

Ödül aşağıdakilere göre artırılabilir:

FAQ

Ürün güvenliğiyle ilgili en yeni haberleri almak için QNAP eNews’e abone olun