A QNAP BESZÁMOL A BOUNTY PROGRAM 2025-ÖS ELŐREHALADÁSÁRÓL, A TERMÉKBIZTONSÁG ÉS AZ EGYÜTTMŰKÖDÉSEN ALAPULÓ VÉDELEM FEJLESZTÉSÉRŐL

A fenntartható kiberbiztonság erősítése nyílt együttműködés és folyamatoptimalizálás révén a felhasználói adatok védelméért

A QNAP® Systems, Inc., a tárolási-, hálózatépítési- és számítási megoldások vezető innovátora ma bejelentette a2025-ös QNAP Bounty Program éves fejlődését, kiemelve a vállalat folyamatos invesztícióját a termékbiztonság javítására, valamint elkötelezettségét a globális biztonsági kutatóközösséggel való átlátható, strukturált együttműködés iránt.

Partnerség a globális biztonsági kutatóközösséggel
2025. december 1-jéig a QNAP 224 sebezhetőségi jelentést kapott Bounty programján keresztül. Az ellenőrzött sebezhetőségeket CVE (Common Vulnerabilities and Exposures) azonosítókkal látták el és a QNAP belső biztonsági reakciós folyamatain keresztül javították. Minden kritikusnak vagy fontosnak minősített sebezhetőséget egy héten belül orvosoltak, jelentősen csökkentve a potenciális biztonsági kockázatot.

Idén 151 külső biztonsági kutató járult hozzá a QNAP-termékek biztonságának megerősítéséhez. Szeptemberig a QNAP összesen 88 000 USD jutalmat osztott ki, ezzel is elismerve a sérülékenységek felelős nyilvánosságra hozatalának fontosságát és a kutatóközösség szerepét a felhasználói adatok védelmének javításában. A QNAP a jövőben is támogatni fogja a koordinált sérülékenység közzétételének (CVD) kultúráját és tovább mélyíti a hosszú távú együttműködést a biztonsági ökoszisztémával.

„Az átlátható hibajelentő csatornák és a kutatóközösséggel való szoros együttműködés alapvető fontosságú egy szervezet biztonsági érettségének megerősítéséhez” – mondta Stanley Huang, a QNAP termékbiztonsági incidensekre reagáló csapatának vezető menedzsere.

Aktív részvétel globális biztonsági versenyeken és szakmai teszteken
Annak érdekében, hogy a termékek ellenállóak maradjanak a valós fenyegetésekkel szemben, a QNAP aktívan részt vesz nemzetközi biztonsági versenyeken és harmadik fél által végzett biztonsági értékelésekben, beleértve a következőket:

• Pwn2Own 2024 és Pwn2Own 2025 – termékvédelmi mechanizmusok validálása nagy intenzitású támadási forgatókönyvek esetén
• A közszféra sebezhetőség-felderítő programjai – a termékbiztonság validálása strukturált tesztelés és összehangolt közzététel révén
• Vezető biztonsági cégek által végzett vörös csapatos behatolásvizsgálat – teljes támadási láncok szimulálása a QuTS hero operációs rendszer ellenállóképességének megerősítéséért
  Ezek az erőfeszítések nemcsak a QNAP támadással és védelemmel kapcsolatos biztonsági ismereteit bővítik, hanem a belső biztonsági fejlesztések megvalósítását is felgyorsítják.

Folyamatoptimalizálás és megerősített biztonságvezérlés
A biztonságosabb és átláthatóbb termékfejlesztési környezet kiépítéséért a QNAP továbbfejlesztette biztonságos szoftverfejlesztési életciklusának (SDLC) kulcsfontosságú összetevőit, beleértve a következőket:

• AI által támogatott kódellenőrzés: Az AI által támogatott technológiák kihasználása a kódellenőrzés hatékonyságának javításáért az automatikus sebezhetőség-felismerés és az emberi hibák csökkentése révén.
• Szoftver-összetevőlisták (SBOM) létrehozása: Fenntartja a szoftverkomponensek átláthatóságát, segítve a szervezeteket az ellátási lánc kockázatainak jobb menedzselésében és abban, hogy jobban megfeleljenek a biztonsági követelményeknek.
• Megerősített biztonság a fejlesztési és tesztelési munkafolyamatokban: Integrálja a sebezhetőség-észlelést a CI-/CD-automatizálásba a problémák korai azonosításáért, miközben professzionális szkennelőeszközöket használ a QA-/QC-tesztelés során , hogy biztosítsa a sebezhetőségek alapos azonosítását és javítását még a termék kiadása előtt.

Ha szeretnél többet megtudni a QNAP Bounty programról és a termékbiztonsági kezdeményezésekről, kérjük, látogass el a https://www.qnap.com/go/security-bounty-program/ oldalra.