回报 QNAP 软件安全性弱点
为了提供更好的服务,QNAP 呼吁各界资安好手将 QNAP 产品之任何潜在或确认存在的安全性弱点回报给 QNAP 资安应变团队。请使用下列 PGP 公钥将电子邮件讯息加密,并传送至 security@qnap.com.
PGP 公钥
我们建议您使用下列 PGP 公钥,加密您要传送给 QNAP 的安全性弱点回报。
Q & A
何时该使用 security@qnap.com?
- 当您发现 QNAP 产品中的安全性弱点时。
何时不应使用 security@qnap.com?
- 寻求技术支持 (例如:NAS 的设定、系统更新或硬件报修)。
- 回报已经公开的弱点,例如,已列于资安通报清单中的弱点。
- 寻求技术支援,来协助安装因应安全性弱点而发行之修补程序。
- 回报其他厂商之产品的弱点,或要求提供其他厂商之产品弱点的进一步信息。
- 回报在 qnap.com 以外之网站上发现的安全性弱点。
- 咨询任何其他无关安全性的事宜。
- 回报在移动设备上发现的恶意软件。
若为上述这些情况,您应优先联系 QNAP 的技术支持团队。您可在 http://helpdesk.qnap.com/ 寻求技术支持。若技术支持团队认定有必要的话,会将案件转介给资安应变人员。
我应该传送哪些信息到 security@qnap.com?
- 若要通知我们产品的安全性弱点,请您尽量提供详尽的信息,例如:产品名称、QTS 或 QES 版本、存在弱点的 app 及其版本、弱点的详细说明及复制重现弱点的完整步骤。联系 QNAP 时,建议使用本网页提供的 PGP 公钥将这些信息及说明加密,以保护讯息的完整性及避免敏感信息外流。
QNAP 收到通知后,会如何响应?
- QNAP PSIRT 资安应变团队将会仔细分析并调查收到的信息。依据流程,我们通常会在三个工作日内确认收到您的报告,之后便会展开详细的调查并核实您所回报的问题。一旦 QNAP 审查并确认您的报告,QNAP 将视需要发布补丁 (Qfix) 或相关软件的更新版本。修补程序及更新版本通常会在您寄送弱点报告邮件后的 90 天内发布;然而,根据问题的复杂程度,可能会需要更多时间。 QNAP 将保障您的隐私,我们绝不会转发您传送给我们的电子邮件,也不会要求或披露任何可用于识别您身份的个人信息,包括您的身份、您的工作、您使用的机器或您部署的系统配置。
为降低用户遭受网络犯罪攻击的可能性,QNAP 不会在发行修补程序或资安通报前预告弱点之存在。请您依据 QNAP 之建议,确保您所使用 QNAP 产品之连网安全。针对您所采用的 QNAP 服务,请从 QNAP 网站定期且实时取得安全性修补程序和资安通报,并尽速更新软件。同时,QNAP 建议您订阅资安通报以取得最新产品资安讯息。
关于 QNAP 安全更新,为保护我们的客户,QNAP 在进行调查并提供修补程序或更新通常可用之前,不会披露、讨论或确认安全问题。
