QNAP® Systems, Inc., провідний новатор у сфері рішень для зберігання даних, мереж та обчислень, сьогодні оголосила про свій річний прогрес Програма винагород QNAP 2025, що підкреслює постійні інвестиції компанії в безпеку продуктів та її відданість прозорій та структурованій співпраці зі світовою дослідницькою спільнотою в галузі безпеки.
Співпраця зі світовою спільнотою досліджень у галузі безпеки
Станом на 1 грудня 2025 року QNAP отримала 224 повідомлення про вразливості через свою програму винагород. Перевірені проблеми були позначені ідентифікаційними номерами CVE (загальні вразливості та експозиції) та вирішені за допомогою внутрішніх процедур безпеки QNAP. Усі вразливості, класифіковані як критичні або важливі, були вирішені протягом одного тижня, що значно зменшило потенційний ризик для безпеки.
Цього року 151 зовнішній дослідник у галузі безпеки зробив свій внесок у зміцнення безпеки продуктів QNAP. Станом на вересень QNAP виплатила загалом 88 000 доларів США винагород за відповідальне повідомлення про вразливості, визнаючи роль дослідницької спільноти у покращенні захисту даних користувачів. QNAP продовжуватиме просувати культуру скоординованого розкриття вразливостей (CVD) та поглиблювати довгострокову співпрацю з екосистемою безпеки.
«Прозорі канали звітності про вразливості та тісна співпраця з дослідницькою спільнотою є важливими для зміцнення рівня безпеки організації», – сказав Стенлі Хуанг, керівник команди реагування на інциденти безпеки продуктів QNAP.
Активна участь у світових змаганнях з безпеки та професійному тестуванні
Щоб забезпечити стійкість своїх продуктів до реальних загроз, QNAP активно бере участь у міжнародних конкурсах з безпеки та оцінках безпеки сторонніх розробників, зокрема:
- Pwn2Own 2024 та Pwn2Own 2025 — перевірка захисту продукту в сценаріях інтенсивних атак
- Програми виявлення вразливостей у державному секторі — перевірка безпеки продукції шляхом структурованого тестування та скоординованого розкриття інформаціїmací
- Тестування на проникнення червоною командою, проведене провідними охоронними фірмами — моделювання повних ланцюжків атак для подальшого посилення стійкості операційної системи QuTS Hero
Ці зусилля не лише розширюють знання QNAP як у наступальній, так і в оборонній безпеці, але й прискорюють впровадження покращень внутрішньої безпеки.
Оптимізація процесів та посилення управління безпекою
Щоб створити безпечніше та прозоріше середовище розробки продуктів, QNAP додатково вдосконалила ключові компоненти свого безпечного життєвого циклу розробки програмного забезпечення (SDLC), зокрема:
- Перевірка коду за допомогою штучного інтелекту: Використання технологій штучного інтелекту для підвищення ефективності перевірки коду шляхом автоматичного виявлення вразливостей та зменшення людських помилок.
- Створення специфікації програмного забезпечення (SBOM): Забезпечення прозорої видимості програмних компонентів, щоб організації могли краще керувати ризиками ланцюга поставок та дотримуватися вимог безпеки.
- Підвищена безпека в робочих процесах розробки та тестування: Інтегруйте виявлення вразливостей в автоматизацію CI/CD для раннього виявлення проблем та використовуйте професійні інструменти сканування під час тестування QA/QC, щоб забезпечити ретельне виявлення та усунення вразливостей перед випуском продукту.
Більше інформаціїmacЩоб отримати додаткову інформацію про програму винагород та ініціативи QNAP щодо безпеки продуктів, відвідайте веб-сайт: https://www.qnap.com/go/security-bounty-program/
