回報 QNAP 軟體安全性弱點
為了提供更好的服務,QNAP 呼籲各界資安好手將 QNAP 產品之任何潛在或確認存在的安全性弱點回報給 QNAP 資安應變團隊。請使用下列 PGP 公開金鑰將電子郵件訊息加密,並傳送至 security@qnap.com。
PGP 公開金鑰
我們建議您使用下列 PGP 公開金鑰,加密您要傳送給 QNAP 的安全性弱點回報。
常見問題
何時該使用 security@qnap.com?
- 當您發現 QNAP 產品中的安全性弱點時。
何時不應使用 security@qnap.com?
- 尋求技術支援 (例如:NAS 的設定、系統更新或硬體報修)。
- 回報已經公開的弱點,例如,已列於資安通報清單中的弱點。
- 尋求技術支援,來協助安裝因應安全性弱點而發行之修補程式。
- 回報其他廠商之產品的弱點,或要求提供其他廠商之產品弱點的進一步資訊。
- 回報在 qnap.com 以外之網站上發現的安全性弱點。
- 諮詢任何其他無關安全性的事宜。
- 回報在行動裝置上發現的惡意軟體。
若為上述這些情況,您應優先聯繫 QNAP 的技術支援團隊。您可在 http://helpdesk.qnap.com/ 尋求技術支援。若技術支援團隊認定有必要的話,會將案件轉介給資安應變人員。
我應該傳送哪些資訊到 security@qnap.com?
- 若要通知我們產品的安全性弱點,請您盡量提供詳盡的資訊,例如:產品名稱、QTS 或 QES 版本、存在弱點的 app 及其版本、弱點的詳細說明及複製重現弱點的完整步驟。聯繫 QNAP 時,建議使用本網頁提供的 PGP 公開金鑰將這些資訊及說明加密,以保護訊息的完整性及避免敏感資訊外流。
QNAP 收到通知後,會如何回應?
- QNAP PSIRT 資安應變團隊將會仔細分析並調查收到的資訊。依據流程,我們通常會在 3 個工作天內確認已收到報告,之後便會展開詳細的調查並驗證您所回報的弱點。一旦弱點被審核並確認,若有需要,QNAP 將會發布修補程式 (Qfix),或是提供更新版本的軟體。修補程式及更新版軟體通常會在您寄送弱點通報郵件後的 90 天內發布;然而,根據問題的複雜程度,可能會需要更長的時間完成。 QNAP 將保障您的隱私,我們不會轉寄您傳送給我們的電子郵件,也不會洩漏或要求您主動提供任何足資辨識您的身分、工作、所用的機器或系統配置之資訊。
為降低使用者遭受網路犯罪攻擊的可能性,QNAP 不會在發行修補程式或資安通報前預告弱點之存在。請您依據 QNAP 之建議,確保您所使用 QNAP 產品之連網安全。針對您所採用的 QNAP 服務,請從 QNAP 網站定期且即時取得安全性修補程式和資安通報,並儘速更新軟體。同時,QNAP 建議您訂閱資安通報以取得最新產品資安訊息。
關於 QNAP 安全更新,為保護我們的客戶,QNAP 在進行調查並提供修補程式或更新通常可用之前,不會公開、討論或確認安全問題。
