Jiří Filip QNAP® Systems, Inc., водещ новатор в решенията за съхранение, мрежи и изчисления, днес обяви годишния си напредък... Програма за награди на QNAP 2025, което подчертава непрекъснатите инвестиции на компанията в сигурността на продуктите и ангажимента ѝ за прозрачно и структурирано сътрудничество с глобалната изследователска общност в областта на сигурността.
Сътрудничество с глобалната изследователска общност в областта на сигурността
Към 1 декември 2025 г. QNAP е получила 224 сигнала за уязвимости чрез своята програма за награди. Проверените проблеми са маркирани с идентификационни номера CVE (Common Vulnerabilities and Exposures) и са отстранени чрез вътрешните процедури за сигурност на QNAP. Всички уязвимости, класифицирани като критични или важни, са отстранени в рамките на една седмица, което значително намалява потенциалния риск за сигурността.
Тази година 151 външни изследователи по сигурността са допринесли за укрепване на сигурността на продуктите на QNAP. Към септември QNAP е изплатила общо 88 000 щатски долара под формата на награди за отговорно докладване на уязвимости, признавайки ролята на изследователската общност за подобряване на защитата на потребителските данни. QNAP ще продължи да насърчава култура на координирано разкриване на уязвимости (CVD) и да задълбочава дългосрочното сътрудничество с екосистемата за сигурност.
„Прозрачните канали за докладване на уязвимости и тясното сътрудничество с изследователската общност са от съществено значение за укрепване на зрелостта на сигурността на организацията“, каза Стенли Хуанг, ръководител на екипа за реагиране при инциденти със сигурността на продуктите на QNAP.
Активно участие в световни състезания по сигурност и професионални тестове
За да гарантира устойчивостта на продуктите си на реални заплахи, QNAP участва активно в международни състезания по сигурност и оценки на сигурността от трети страни, включително:
- Pwn2Own 2024 и Pwn2Own 2025 — проверка на защитните механизми на продукта при сценарии на интензивна атака
- Програми за откриване на уязвимости в публичния сектор — проверка на безопасността на продуктите чрез структурирано тестване и координирано разкриване на информацияmací
- Тестване на Red Team за проникване, проведено от водещи фирми за сигурност — симулация на пълни вериги от атаки за допълнително укрепване на устойчивостта на операционната система QuTS hero
Тези усилия не само разширяват знанията на QNAP както в офанзивната, така и в отбранителната сигурност, но и ускоряват внедряването на подобрения във вътрешната сигурност.
Оптимизация на процесите и укрепване на управлението на сигурността
За да създаде по-сигурна и прозрачна среда за разработване на продукти, QNAP допълнително подобри ключови компоненти на своя жизнен цикъл на защитено разработване на софтуер (SDLC), включително:
- Преглед на код, задвижван от изкуствен интелект: Използване на технологии за изкуствен интелект за подобряване на ефективността на прегледа на кода чрез автоматизирано откриване на уязвимости и намаляване на човешките грешки.
- Създаване на софтуерна BOM (SBOM): Осигуряване на прозрачна видимост на софтуерните компоненти, така че организациите да могат по-добре да управляват рисковете във веригата за доставки и да отговарят на изискванията за съответствие със сигурността.
- Подобрена сигурност в работните процеси за разработка и тестване: Интегрирайте откриването на уязвимости в автоматизацията на CI/CD за ранно откриване на проблеми и използвайте професионални инструменти за сканиране по време на QA/QC тестване, за да гарантирате, че уязвимостите са щателно идентифицирани и отстранени преди пускането на продукта.
Допълнителна информацияmacЗа повече информация относно програмата за награди и инициативите за сигурност на продуктите на QNAP, моля, посетете: https://www.qnap.com/go/security-bounty-program/
