Search

安全漏洞奖励计划

QNAP 积极维护资安,并结合相关合作伙伴及社群的力量,确保 QNAP 产品安全性,让用户更安心,对产品系统及数据安全确实把关。为了感谢发现潜在安全问题与协助提升客户安全的研发人员,QNAP 将通过安全漏洞反馈奖励计划给予奖金。

奖励计划适用范围

奖励计划仅接受与 QNAP 产品及网站服务相关的安全问题反馈。未涵盖在此计划范围的安全问题将不给予奖金;然而,我们将视情况接受非本计划范围以内,但严重性高且重要的安全漏洞。

  • 操作系统

    QNAP 开发的操作系统:QTS, QuTS hero, QuTScloud 皆涵盖于本计划范围中

    了解更多

  • 应用程序

    QNAP 官方研发的应用程序

    了解更多

  • 云端服务

    QNAP 官方提供的云端服务

    了解更多

如何提交安全问题与漏洞

请使用下列 PGP 公钥将电子邮件讯息加密,并传送至 security@qnap.com,QNAP PSIRT 会主动联系来确认提交数据。

弱点通报建议格式范例

PGP 代码

复制 PGP 代码
回报问题

奖励资格标准

  • 您必须是首个回报安全漏洞的人员。

  • 您尚未向公众披露此安全漏洞。

  • 您回报的安全漏洞经 QNAP 内部人员确认为可验证、可重现、且符合奖励资格的漏洞。

  • 您完全同意并遵守奖励计划规范

奖励额度保有调整空间,具体取决于:

  • 遵守漏洞通报建议格式范例:请提供必要且充分的漏洞提交信息,建议格式:操作系统格式范例应用程序格式范例云端服务格式范例

  • 复制步骤:清楚详尽的复制步骤。

  • 问题描述:条理清晰,内容段落编排清楚的安全漏洞报告。

  • 补充信息:漏洞通报建议格式范例中建议的项目,或其他有用信息,例如:测试代码、脚本,或其他详细说明。

  • 请以文字形式完整提供攻击封包 (exploit payload) 原始信息:仅提供图文件的封包信息,QNAP PSIRT 团队不保证可以正确复制,在无法重现有效攻击的情况下,漏洞认定可能失效。

FAQ

奖励机制与奖金额度由 QNAP PSIRT 成员组成的奖励委员会考虑以下因素决定:成功利用漏洞的复杂性,安全漏洞的威胁性包含受影响的用户和系统的百分比。

可以,如果通过影片可以让人更容易理解弱点如何被利用,奖励委员可能因此提高奖励。请注意书面文件信息是必须的(例如: PoC 概念证明文件及完整说明),如此有助弱点节漏流程的管理。

弱点通报至少必需包含:弱点所在的产品名称,版本及版号或是云端服务的网址位置、关于漏洞潜在威胁的摘要,以及详尽清晰的重现步骤,并可搭配影片以重现漏洞。

请使用 QNAP 提供的 PGP Key 加密,将报告寄至 security@qnap.com。系统会自动回复技术申请单号,研究员未来可以用此单号查询审查进度。QNAP PSIRT 团队会主动联系研究员,并确认提交数据内容完整性。若数据已完整提供,一周内研究员将会收到 QNAP PSIRT 弱点确认信。内容包含指派给该资安回报的 CVE ID 。奖金提案则会于弱点确认信寄送日四周后以 email 通知。如果研究员同意,QNAP 预计于收到确认回复的十二周后进行汇款。

建议用户订阅 QNAP 安全通告,掌握第一手产品安全讯息!

立即订阅 深入了解安全通告

选择规格

      显示更多 隐藏更多
      open menu
      back to top