QNAP 如何確保產品安全?
QNAP 採取多層次的資安防護措施,以確保 NAS 軟體環境安全可靠:
-
軟體透明度與 SBOM 支援
-
QNAP 維護 NAS 軟體與應用程式的 SBOM,以掌握追蹤各個產品的所有軟體組成,確保所有元件無資訊安全疑慮,從而有效降低由供應商端漏洞或不安全程式碼所帶來的風險。
-
使用業界標準格式 (如 CycloneDX、SPDX) 維護 SBOM,具相容性與可讀性,改善審查流程或滿足敏感產業合規要求。
-
產品開發流程採用軟體組成分析 (Software Composition Analysis, SCA) ,協助有效檢測開源元件漏洞、確保合作夥伴遵守授權合規性,並管理與修補軟體版本。
-
QNAP 與優良的上游供應商攜手合作,致力共同設計與維護安全的軟體產品與服務。
-
持續的安全更新
-
透過自動化檢測工具 (如 SAST) 發現潛在的安全漏洞,並定期發布韌體與應用程式更新,修補已知漏洞。
-
積極推動安全漏洞獎勵計畫,鼓勵資安專家與研究人員通報潛在安全問題,協助提升 QNAP 產品與用戶資料的安全性。
-
第三方安全審查與合規認證
-
整合 MITRE CVE 資料庫和 CISA KEV 目錄,QNAP 能在 24 小時內迅速回應零時差漏洞,利用這些資料庫進行漏洞識別和優先處理,確保產品的即時安全防護。
-
定期接受第三方資安審查與滲透測試,確保產品符合最新資安標準。
-
遵循 ISO 27001 等國際資訊安全標準 。
-
遵循系統發展生命週期 (Software development life cycle, SDLC) 的內部安全開發流程
-
採取多層防護措施,確保開發環境的安全性,包括:實體和邊界控制、嚴格權限存取管理、防毒和入侵偵測系統、安全稽核和監控機制。
-
採用 Security by Design 原則,融入安全考量於整個開發生命週期,從需求蒐集、架構設計到實作編碼。
