安全漏洞獎勵計畫
QNAP 積極維護資安,並結合相關合作夥伴及社群的力量,確保 QNAP 產品安全性,讓用戶更安心,對產品系統及資料安全確實把關。為了感謝發現潛在安全問題與協助提升客戶安全的研究人員,QNAP 將透過安全漏洞回報獎勵計畫給予獎金。
獎勵資格標準
-
您必須是第一位回報安全漏洞的研究人員。
-
您尚未向公眾披露此安全漏洞。
-
您回報的安全漏洞經 QNAP 內部人員確認為可驗證、可重現、且符合獎勵資格的漏洞。
-
您完全同意並遵守獎勵計畫規範。
FAQ
獎勵機制與獎金額度由 QNAP PSIRT 成員組成的獎勵委員會考慮以下因素決定:成功利用漏洞的複雜性,安全漏洞的威脅性包含受影響的用戶和系統的百分比。
可以,如果透過影片可以讓人更容易理解弱點如何被利用,獎勵委員可能因此提高獎勵。請注意書面文件資訊是必須的(例如: PoC 概念證明文件及完整說明),如此有助弱點節漏流程的管理。
弱點通報至少必需包含:弱點所在的產品名稱,版本及版號或是雲端服務的網址位置、關於漏洞潛在威脅的摘要,以及詳盡清晰的複製步驟,並可搭配影片以重現漏洞。
請使用 QNAP 提供的 PGP Key 加密,將報告寄至 security@qnap.com。系統會自動回覆技術申請單號,研究員未來可以用此單號查詢審查進度。QNAP PSIRT 團隊會主動聯絡研究員,並確認提交資料內容完整性。若資料已完整提供,一週內研究員將會收到 QNAP PSIRT 弱點確認信。內容包含指派給該資安回報的 CVE ID 。獎金提案則會於弱點確認信寄送日四週後以 email 通知。如果研究員同意,QNAP 預計於收到確認回覆之十二週後進行匯款。
作業系統
獎金最高 $20,000 美元
獎金 |
經確認並通過評級審核的安全問題回報,QNAP 可提供高達 $20,000 美元的獎金。 |
---|---|
適用範圍 |
本計畫僅接受正式版本及最新版本之產品、應用與服務的安全問題回報。
|
注意事項 |
此計畫僅接受與QNAP 產品與服務相關的安全問題。嚴格禁止任何可能危害 QNAP伺服器或資料的行為,所有安全問題測試皆不得違反任何法律。 以下列示不符合獎勵資格的安全問題:
|
應用程式
獎金最高 $10,000 美元
獎金 |
經確認並通過評級審核的安全問題回報,QNAP 可提供高達 $10,000 美元的獎金。 |
---|---|
適用範圍 |
本計畫僅接受正式版本及最新版本之產品、應用與服務的安全問題回報。 以下列示獎勵計畫所涵蓋之應用程式:
|
注意事項 |
此計畫僅接受與QNAP 產品與服務相關的安全問題。嚴格禁止任何可能危害 QNAP伺服器或資料的行為,所有安全問題測試皆不得違反任何法律。 以下列示不符合獎勵資格的安全問題:
|
雲端服務
獎金最高 $5,000 美元
獎金 |
經確認並通過評級審核的安全問題回報,QNAP 可提供高達 $5,000 美元的獎金。 |
---|---|
適用範圍 |
本計畫僅接受正式版本及最新版本之產品、應用與服務的安全問題回報。 以下列示雲端服務所涵蓋之網域
|
注意事項 |
此計畫僅接受與QNAP 產品與服務相關的安全問題。嚴格禁止任何可能危害 QNAP伺服器或資料的行為,所有安全問題測試皆不得違反任何法律。 以下列示不符合獎勵資格的安全問題:
|
作業系統
(*為必填欄位)
-
產品*:產品名稱,例如:QuTS hero
-
版本*:產品版本以及發行的build number, 例如: h5.0.1.2376 build 20230421
-
摘要*:如以下形式「某類型的漏洞於哪裡發現」,例如:Command Injection in abc.cgi
-
權限要求*:開採此弱點的最低使用權限,選項:無權限要求 / 一般使用者 / 管理員群組 / 系統管理員
-
研究動機:驅使您開始研究並發現此弱點的原因為何?
-
使用工具:研究過程中所有使用到的工具及軟體清單
-
問題描述:披露更多關於漏洞的詳細資訊
-
例如:
-
淺在危害的簡短敘述
-
關於弱點的分析
-
弱點是如何被定義且發現的
-
報告中有利用到的工具
-
-
CWE ID(s):CWE-XXX, CWE-YYY 等
-
CAPEC ID(s):CAPEC-XXX, CAPEC-YYY 等
-
CVSS Score:CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), 可參考: CVSS v3.1 漏洞評分系統 https://cvss.js.org/
-
複製步驟*:詳盡清晰的複製步驟
-
概念驗證:任何視頻、屏幕截圖、漏洞開採等
應用程式
(*為必填欄位)
-
應用程式*:應用程式的名字,例如:FileStation
-
版本*:產品版本以及發行的build number, 例如 2.0.2 ( 2022/01/26 )
-
摘要*:如以下形式「某類型的漏洞於哪裡發現」,例如:Buffer overflow in abc app
-
權限要求*:開採此弱點的最低使用權限,選項:無權限要求 / 一般使用者 / 管理員群組 / 系統管理員
-
研究動機:驅使您開始研究並發現此弱點的原因為何?
-
使用工具:研究過程中所有使用到的工具及軟體清單
-
問題描述:披露更多關於漏洞的詳細資訊
-
例如:
-
淺在危害的簡短敘述
-
關於弱點的分析
-
弱點是如何被定義且發現的
-
報告中有利用到的工具
-
-
CWE ID(s):CWE-XXX, CWE-YYY 等
-
CAPEC ID(s):CAPEC-XXX, CAPEC-YYY 等
-
CVSS Score:CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), 可參考: CVSS v3.1 漏洞評分系統 https://cvss.js.org/
-
複製步驟*:詳盡清晰的複製步驟
-
概念驗證:任何視頻、屏幕截圖、漏洞開採等
雲端服務
(*為必填欄位)
-
網域*:網域名稱,例如:https://account.qnap.com
-
摘要*:如以下形式「某類型的漏洞於哪裡發現」,例如: XSS on https://account.qnap.com
-
研究動機:驅使您開始研究並發現此弱點的原因為何?
-
使用工具:研究過程中所有使用到的工具及軟體清單
-
問題描述:披露更多關於漏洞的詳細資訊
-
例如:
-
淺在危害的簡短敘述
-
關於弱點的分析
-
弱點是如何被定義且發現的
-
報告中有利用到的工具
-
-
CWE ID(s):CWE-XXX, CWE-YYY 等
-
CAPEC ID(s):CAPEC-XXX, CAPEC-YYY 等
-
CVSS Score:CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), 可參考: CVSS v3.1 漏洞評分系統 https://cvss.js.org/
-
複製步驟*:詳盡清晰的複製步驟
-
概念驗證:任何視頻、屏幕截圖、漏洞開採等