Společnost QNAP® Systems, Inc., přední inovátor v oblasti úložných, síťových a výpočetních řešení, dnes oznámila roční pokrok svého Programu odměn QNAP za rok 2025, který zdůrazňuje pokračující investice společnosti do zabezpečení produktů a její závazek k transparentní a strukturované spolupráci s globální komunitou zabývající se výzkumem v oblasti bezpečnosti.
Spolupráce s globální bezpečnostní výzkumnou komunitou
K 1. prosinci 2025 obdržela společnost QNAP prostřednictvím svého programu odměn 224 hlášení o zranitelnostech. Ověřené problémy byly označeny identifikačními čísly CVE (Common Vulnerabilities and Exposures) a vyřešeny prostřednictvím interních bezpečnostních postupů společnosti QNAP. Všechny slabiny klasifikované jako kritické nebo důležité byly odstraněny do jednoho týdne, čímž se výrazně snížilo potenciální bezpečnostní riziko.
V letošním roce přispělo k posílení bezpečnosti produktů QNAP 151 externích bezpečnostních výzkumníků. K září společnost QNAP vyplatila celkem 88 000 USD v odměnách za zodpovědné oznamování slabin a uznala tak roli výzkumné komunity při zlepšování ochrany uživatelských dat. Společnost QNAP bude i nadále podporovat kulturu koordinovaného zveřejňování zranitelností (Coordinated Vulnerability Disclosure, CVD) a prohlubovat dlouhodobou spolupráci s bezpečnostním ekosystémem.
„Transparentní kanály pro hlášení zranitelností a úzká spolupráce s výzkumnou komunitou jsou zásadní pro posílení bezpečnostní vyspělosti organizace,“ uvedl Stanley Huang, vedoucí týmu pro reakce na bezpečnostní incidenty produktů společnosti QNAP.
Aktivní účast v globálních bezpečnostních soutěžích a profesionálním testování
S cílem zajistit odolnost svých produktů vůči reálným hrozbám se společnost QNAP aktivně účastní mezinárodních soutěží v oblasti bezpečnosti a bezpečnostních hodnocení prováděných třetími stranami, a to včetně:
- Pwn2Own 2024 a Pwn2Own 2025 — ověřování obrany produktů ve scénářích intenzivních útoků
- Programy vyhledávání slabin ve veřejném sektoru — ověřování bezpečnosti produktů prostřednictvím strukturovaného testování a koordinovaného zveřejňování informací
- Penetrační red team testování prováděné předními bezpečnostními firmami — simulace kompletních útočných řetězců za účelem dalšího posílení odolnosti operačního systému QuTS hero
Tyto snahy nejen rozšiřují znalosti společnosti QNAP v oblasti ofenzivní i defenzivní bezpečnosti, ale také urychlují implementaci interních bezpečnostních vylepšení.
Optimalizace procesů a posílení správy bezpečnosti
S cílem vytvořit bezpečnější a transparentnější prostředí pro vývoj produktů společnost QNAP dále vylepšila klíčové komponenty svého zabezpečeného životního cyklu vývoje softwaru (SDLC), včetně:
- Kontrola kódu s podporou umělé inteligence: Využití technologií umělé inteligence ke zlepšení efektivity kontroly kódu prostřednictvím automatizované detekce zranitelností a snížení počtu lidských chyb.
- Vytvoření softwarového kusovníku (SBOM): Zajištění transparentní viditelnosti softwarových komponent, aby organizace mohly lépe řídit rizika dodavatelského řetězce a splňovat požadavky na bezpečnostní shodu.
- Posílená bezpečnost v rámci vývojových a testovacích pracovních postupů: Integrace detekce slabin do automatizace CI/CD za účelem včasného odhalení problémů a využití profesionálních skenovacích nástrojů během testování QA/QC, aby bylo zajištěno, že zranitelnosti budou důkladně identifikovány a odstraněny před vydáním produktu.
Další informace o programu odměn QNAP a iniciativách v oblasti bezpečnosti produktů naleznete na adrese: https://www.qnap.com/go/security-bounty-program/