Legal

QNAP 安全軟體開發週期

最後更新日期: 2024 年 7 月 16 日

本公司秉持著提供安全可靠雲端服務的承諾, 我們制定並落實完善的保全開發程序, 嚴格遵循安全最佳實踐, 以確保系統及應用程式在開發的每個生命週期階段都能滿足最高的安全標準。

1. 開發環境安全

我們採取多層防護措施, 確保開發環境的安全性:

• 實體和邊界控制
• 嚴格的身份存取管理
• 防毒和入侵偵測系統
• 安全稽核和監控機制

2. 軟體開發生命週期安全

我們融入安全考量於整個開發生命週期:

• 安全開發方法
  採用Security by Design原則, 從需求蒐集、架構設計到實作編碼, 皆融入風險評估和威脅模型分析。
• 安全編碼規範
  針對各種程式語言提供詳細的安全編碼指導方針, 協助開發人員避開常見的安全漏洞。

3. 設計階段安全要求

系統和應用程式功能在設計階段須通過嚴格的安全檢視, 包括資料保護、身份驗證、存取控制、加密實作等要求。

4. 開發生命週期安全檢查點

我們在重要的開發節點進行安全檢視, 例如:

• 威脅模型驗證
• 靜態程式碼分析 (SAST)
• 動態應用程式掃描測試
• 滲透測試

5. 開發資料保護

開發過程中產生的機密資料和原始碼受到嚴格的存取控制和加密保護。

6. 版本控制安全

所有程式碼變更皆透過安全的版本控制系統追蹤, 防止未經授權的修改。

7. 應用系統安全知識培訓

我們為開發人員提供應用系統安全相關的培訓, 使他們熟悉Web/雲端/行動應用的各種安全威脅, 以及最佳防護做法。

8. 漏洞管理能力

• 積極透過自動化工具和人工掃描等方式發現和修補潛在的安全漏洞, 並持續強化此方面的能力。
• 動管理與產品相關的漏洞資訊，包含接收、調查、協調及報告。在 24 小時之內迅速回應零時差漏洞，並透過 QNAP Security Advisories 發佈漏洞通知。

9. 專責的安全團隊

QNAP 設立PSIRT 來全權負責協調及制訂產品安全的回應。PSIRT 透過一個全面的四步驟流程，確保與所有相關人員進行迅速的溝通、補救，且資訊完全透明。

10. 資訊公開透明

QNAP 是參與MITRE CNA 計畫的企業，能安全地與第三方安全研究人員合作，發現並修正以前未知的安全漏洞，同時與相關人員之間保持公開透明與信任。

11. 參與資訊安全社群 

透過安全漏洞回報獎勵計畫 (https://www.qnap.com/zh-tw/security-bounty-program) , QNAP 與資訊安全社群密切合作，一同強化我們產品的安全性。

總結

我們深知保全開發的重要性, 將持續審視並精進開發程序與做法, 努力提供客戶最安全可靠的雲端服務。