A QNAP Systems, Inc., a tárolási-, hálózatépítési- és számítási megoldások vezető innovátora ma bejelentette a 2025-ös QNAP Bounty Program éves fejlődését, kiemelve a vállalat folyamatos invesztícióját a termékbiztonság javítására, valamint elkötelezettségét a globális biztonsági kutatóközösséggel való átlátható, strukturált együttmĹąködés iránt.

Partnerség a globális biztonsági kutatóközösséggel

2025. december 1-jéig a QNAP 224 sebezhetőségi jelentést kapott Bounty programján keresztül. Az ellenőrzött sebezhetőségeket CVE (Common Vulnerabilities and Exposures) azonosítókkal látták el és a QNAP belső biztonsági reakciós folyamatain keresztül javították. Minden kritikusnak vagy fontosnak minősített sebezhetőséget egy héten belül orvosoltak, jelentősen csökkentve a potenciális biztonsági kockázatot.

Idén 151 külső biztonsági kutató járult hozzá a QNAP-termékek biztonságának megerősítéséhez. Szeptemberig a QNAP összesen 88 000 USD jutalmat osztott ki, ezzel is elismerve a sérülékenységek felelős nyilvánosságra hozatalának fontosságát és a kutatóközösség szerepét a felhasználói adatok védelmének javításában. A QNAP a jövőben is támogatni fogja a koordinált sérülékenység közzétételének (CVD) kultúráját és tovább mélyíti a hosszú távú együttmĹąködést a biztonsági ökoszisztémával.

„Az átlátható hibajelentő csatornák és a kutatóközösséggel való szoros együttmĹąködés alapvető fontosságú egy szervezet biztonsági érettségének megerősítéséhez” – mondta Stanley Huang, a QNAP termékbiztonsági incidensekre reagáló csapatának vezető menedzsere.

Aktív részvétel globális biztonsági versenyeken és szakmai teszteken

Annak érdekében, hogy a termékek ellenállóak maradjanak a valós fenyegetésekkel szemben, a QNAP aktívan részt vesz nemzetközi biztonsági versenyeken és harmadik fél által végzett biztonsági értékelésekben, beleértve a következőket:

• Pwn2Own 2024 és Pwn2Own 2025 – termékvédelmi mechanizmusok validálása nagy intenzitású támadási forgatókönyvek esetén

• A közszféra sebezhetőség-felderítő programjai – a termékbiztonság validálása strukturált tesztelés és összehangolt közzététel révén

• Vezető biztonsági cégek által végzett vörös csapatos behatolásvizsgálat – teljes támadási láncok szimulálása a QuTS hero operációs rendszer ellenállóképességének megerősítéséért

Ezek az erőfeszítések nemcsak a QNAP támadással és védelemmel kapcsolatos biztonsági ismereteit bővítik, hanem a belső biztonsági fejlesztések megvalósítását is felgyorsítják.

Folyamatoptimalizálás és megerősített biztonságvezérlés

A biztonságosabb és átláthatóbb termékfejlesztési környezet kiépítéséért a QNAP továbbfejlesztette biztonságos szoftverfejlesztési életciklusának (SDLC) kulcsfontosságú összetevőit, beleértve a következőket:

• AI által támogatott kódellenőrzés: Az AI által támogatott technológiák kihasználása a kódellenőrzés hatékonyságának javításáért az automatikus sebezhetőség-felismerés és az emberi hibák csökkentése révén.

• Szoftver-összetevőlisták (SBOM) létrehozása: Fenntartja a szoftverkomponensek átláthatóságát, segítve a szervezeteket az ellátási lánc kockázatainak jobb menedzselésében és abban, hogy jobban megfeleljenek a biztonsági követelményeknek.

• Megerősített biztonság a fejlesztési és tesztelési munkafolyamatokban: Integrálja a sebezhetőség-észlelést a CI-/CD-automatizálásba a problémák korai azonosításáért, miközben professzionális szkennelőeszközöket használ a QA-/QC-tesztelés során , hogy biztosítsa a sebezhetőségek alapos azonosítását és javítását még a termék kiadása előtt.

English Summary

QNAP Systems, Inc. has reported significant progress in its 2025 Bounty Program, highlighting its ongoing investment in product security and collaboration with the global security researcher community. By December 1, 2025, the program received 224 vulnerability reports, which were promptly addressed and assigned CVE identifiers, with critical issues fixed within a week. A total of 151 external researchers contributed, earning $88,000 in rewards, reinforcing responsible disclosure practices. QNAP also participates in international security competitions and independent tests, while enhancing its secure software development lifecycle through AI-assisted code review, SBOMs, and strengthened CI/CD workflows. These efforts demonstrate QNAP’s commitment to transparency, collaboration, and robust protection of user data.