QNAP raportuje postępy w swoim programie Bounty w 2025 r.

Tajpej, Tajwan, grudnia 22, 2025 — QNAP® Systems, Inc., wiodący innowator w dziedzinie rozwiązań pamięci masowej, sieci i obliczeniowych, ogłosił dziś roczny raport w swoim Programie Bounty QNAP w 2025 r., podkreślając stałe inwestycje firmy w bezpieczeństwo produktów oraz jej zaangażowanie w transparentną, ustrukturyzowaną współpracę z globalną społecznością badaczy bezpieczeństwa.

Partnerstwo z globalną społecznością badaczy bezpieczeństwa

Do 1 grudnia 2025 r. firma QNAP otrzymała 224 zgłoszenia dotyczące luk w zabezpieczeniach w ramach swojego programu Bug Bounty. Zweryfikowanym problemom przypisano identyfikatory CVE (Common Vulnerabilities and Exposures) i rozwiązano je w ramach wewnętrznych procesów reagowania na zagrożenia QNAP. Wszystkie luki w zabezpieczeniach sklasyfikowane jako Krytyczne lub Ważne zostały naprawione w ciągu jednego tygodnia, co znacznie zmniejszyło potencjalne ryzyko naruszenia bezpieczeństwa.

W tym roku 151 zewnętrznych badaczy bezpieczeństwa przyczyniło się do wzmocnienia bezpieczeństwa produktów QNAP. Do września QNAP przyznał łącznie 88 000 USD w ramach nagród, doceniając odpowiedzialne ujawnianie luk w zabezpieczeniach i rolę społeczności w poprawie ochrony danych użytkowników. QNAP będzie nadal promować kulturę skoordynowanego ujawniania luk w zabezpieczeniach (CVD) i pogłębiać długoterminową współpracę z ekosystemem bezpieczeństwa.

„Przejrzyste kanały zgłaszania i ścisła współpraca ze społecznością mają fundamentalne znaczenie dla wzmocnienia dojrzałości bezpieczeństwa organizacji” – powiedział Stanley Huang, starszy menedżer zespołu ds. reagowania na incydenty bezpieczeństwa produktów QNAP.

Aktywny udział w globalnych konkursach bezpieczeństwa i testach profesjonalnych

Aby zapewnić odporność produktów na rzeczywiste zagrożenia, QNAP aktywnie uczestniczy w międzynarodowych konkursach bezpieczeństwa i niezależnych ocenach bezpieczeństwa, w tym:

• Pwn2Own 2024 i Pwn2Own 2025 — weryfikacja zabezpieczeń produktów w scenariuszach ataków o wysokiej intensywności
• Programy wykrywania luk w zabezpieczeniach sektora publicznego — weryfikacja bezpieczeństwa produktów poprzez strukturalne testy i skoordynowane ujawnianie
• Testy penetracyjne Red Team przeprowadzane przez wiodące firmy z sektora bezpieczeństwa — symulacja pełnych łańcuchów ataków w celu dalszego wzmocnienia odporności systemu operacyjnego QuTS Hero

Działania te nie tylko poszerzają wiedzę QNAP na temat bezpieczeństwa ofensywnego i defensywnego, ale także przyspieszają wdrażanie wewnętrznych ulepszeń bezpieczeństwa.

Optymalizacja procesów i wzmocnione zarządzanie bezpieczeństwem

Aby zbudować bezpieczniejsze i bardziej przejrzyste środowisko rozwoju produktów, firma QNAP dodatkowo udoskonaliła kluczowe komponenty swojego Bezpiecznego Cyklu Życia Oprogramowania (SDLC), w tym:

• Przegląd kodu wspomagany sztuczną inteligencją: Wykorzystanie technologii sztucznej inteligencji do zwiększenia efektywności przeglądu kodu poprzez automatyczne wykrywanie luk w zabezpieczeniach i redukcję błędów ludzkich.
• Utworzenie Wykazu Materiałów Oprogramowania (SBOM): Utrzymanie transparentnego wglądu w komponenty oprogramowania, aby pomóc organizacjom lepiej zarządzać ryzykiem w łańcuchu dostaw i spełniać wymogi bezpieczeństwa.
• Wzmocnione bezpieczeństwo w przepływach pracy związanych z rozwojem i testowaniem: Zintegrowanie wykrywania luk w zabezpieczeniach z automatyzacją CI/CD w celu wczesnego identyfikowania problemów, przy jednoczesnym wykorzystaniu profesjonalnych narzędzi skanujących podczas testów QA/QC w celu dokładnej identyfikacji i usunięcia luk w zabezpieczeniach przed publikacją.

Aby uzyskać więcej informacji na temat programu QNAP Bounty Program i inicjatyw związanych z bezpieczeństwem produktów, odwiedź stronę: https://www.qnap.com/go/security-bounty-program/