以開放合作與流程升級強化永續資安,守護用戶資料安全
儲存、網通及運算解決方案的創新者威聯通®科技 (QNAP® Systems, Inc.) 今日公布 2025 年 QNAP Bounty Program 年度成果,展現在產品安全上的持續投入,並透過透明且制度化的協作機制推動整體安全提升。
攜手全球資安研究社群
截至 2025 年 12 月 1 日,QNAP 透過 Bounty Program 收到 224 份弱點報告後指派 CVE (Common Vulnerabilities and Exposures) ID,並成功在內部流程中快速定位並修補問題,所有 Critical / Important 等級漏洞均能在 1 週內完成修補,大幅降低產品資安潛在風險。
今年共有 151 位外部資安研究員為 QNAP 產品安全做出貢獻;截至 9 月,QNAP 已發出 US$ 88,000 獎金,感謝研究社群對提升用戶資料安全的支持。QNAP 將持續推動協作式漏洞揭露 (CVD) 文化,強化與資安社群的長期合作。
威聯通產品資安事件應變團隊 (PSIRT) 資深經理黃士展表示:「建立透明的回報管道、攜手研究社群,是企業強化安全成熟度的重要基礎」
積極參與全球資安競賽與專業測試
為確保產品能在真實威脅情境中維持高韌性,QNAP 積極參與國際級競賽與第三方安全測試,包括:
- ● Pwn2Own 2024 及 Pwn2Own 2025:透過高強度攻防情境驗證產品防護能力
- ● 國家資通安全研究院 (NICS) 產品資安漏洞獵捕活動:參與國家級資安檢測架構
- ● 委託頂級資安公司進行紅隊滲透測試:以全攻擊鏈模擬方式強化 QuTS hero 系統韌性
這些參與不僅提升 QNAP 的攻防視野,也加速內部安全機制的改善與落地。
流程升級與安全治理強化
為構建更安全與透明的產品開發環境,QNAP 今年進一步強化安全軟體開發生命週期 (SDLC) 的關鍵環節,包括:
- ● AI 輔助 Code Review:導入 AI 技術提升程式碼稽核效率,透過自動化檢測降低人為疏漏。
- ● 建立軟體物料清單 (SBOM):確保軟體元件資訊的透明度,協助企業有效管理供應鏈風險並符合相關安全規範。
- ● 開發與測試流程安全強化:將弱點檢測納入 CI/CD 自動化流程,以即早攔截問題;在 QA/QC 測試階段則透過專業掃描軟體提升驗證品質,使漏洞能在產品發布前被確實發現並修復。
打造永續資安體質,歡迎人才加入QNAP PSIRT
隨著 Bounty Program 與內部安全流程持續拓展,QNAP 正積極擴編 PSIRT (Product Security Incident Response Team),尋找具資安熱忱的專業人才。歡迎更多致力於安全研究、漏洞分析與安全工程的夥伴加入,一同打造值得全球用戶信賴的安全平台。
了解更多 QNAP Bounty Program 與產品安全資訊,請造訪:https://www.qnap.com/go/security-bounty-program/
