安全漏洞獎勵計畫

QNAP 積極維護資安,並結合相關合作夥伴及社群的力量,確保 QNAP 產品安全性,讓用戶更安心,對產品系統及資料安全確實把關。為了感謝發現潛在安全問題與協助提升客戶安全的研究人員,QNAP 將透過安全漏洞回報獎勵計畫給予獎金。

獎勵計畫適用範圍

獎勵計畫僅接受與 QNAP 產品及網站服務相關的安全問題回報。未涵蓋在此計畫範圍的安全問題回報將不給予獎金;然而,我們將視情況接受非本計畫範圍以內,但嚴重性高且重要的安全問題回報。

  • 作業系統

    QNAP 開發的作業系統:QTS, QuTS hero, QuTScloud 皆涵蓋於本計劃範圍中

  • 應用程式

    QNAP 官方研發的應用程式

  • 雲端服務

    QNAP 官方提供之雲端服務

如何回報安全問題與漏洞

請使用下列 PGP 公開金鑰將電子郵件訊息加密,並傳送至 security@qnap.com,QNAP PSIRT 會主動聯絡研究員以確認提交資料。

弱點通報建議格式範例

PGP 代碼

獎勵資格標準

  • 您必須是第一位回報安全漏洞的研究人員。

  • 您尚未向公眾披露此安全漏洞。

  • 您回報的安全漏洞經 QNAP 內部人員確認為可驗證、可重現、且符合獎勵資格的漏洞。

  • 您完全同意並遵守獎勵計畫規範

獎勵額度保有調整空間,具體取決於:

  • 遵循弱點通報建議格式範例:請提供必要且充分的弱點通報資訊,建議格式:作業系統格式範例應用程式格式範例雲端服務格式範例

  • 複製步驟:清楚詳盡的複製步驟。

  • 問題描述:條理清晰,內容段落編排清楚的安全漏洞報告。

  • 補充資訊:弱點通報建議格式範例中建議的項目,或其他有用資訊,例如:測試代碼、腳本,或其他詳細說明。

  • 請以文字形式完整提供攻擊封包 (exploit payload) 原始資訊:僅提供圖檔的封包資訊,QNAP PSIRT 團隊不保證可以正確複製,在無法重現有效攻擊的情況下,弱點認定可能失效。

FAQ

獎勵機制與獎金額度由 QNAP PSIRT 成員組成的獎勵委員會考慮以下因素決定:成功利用漏洞的複雜性,安全漏洞的威脅性包含受影響的用戶和系統的百分比。

可以,如果透過影片可以讓人更容易理解弱點如何被利用,獎勵委員可能因此提高獎勵。請注意書面文件資訊是必須的(例如: PoC 概念證明文件及完整說明),如此有助弱點節漏流程的管理。

弱點通報至少必需包含:弱點所在的產品名稱,版本及版號或是雲端服務的網址位置、關於漏洞潛在威脅的摘要,以及詳盡清晰的複製步驟,並可搭配影片以重現漏洞。

請使用 QNAP 提供的 PGP Key 加密,將報告寄至 security@qnap.com。系統會自動回覆技術申請單號,研究員未來可以用此單號查詢審查進度。QNAP PSIRT 團隊會主動聯絡研究員,並確認提交資料內容完整性。若資料已完整提供,一週內研究員將會收到 QNAP PSIRT 弱點確認信。內容包含指派給該資安回報的 CVE ID 。獎金提案則會於弱點確認信寄送日四週後以 email 通知。如果研究員同意,QNAP 預計於收到確認回覆之十二週後進行匯款。

建議用戶訂閱 QNAP 資安通報,掌握第一手資安訊息!

選擇規格

      顯示更多 隱藏更多

      選擇其他偏好的語言:

      open menu
      back to top