威聯通科技(QNAP Systems, Inc.)公布2025(今)年QNAP Bounty Program年度成果,展現在產品安全上的持續投入,並透過透明且制度化的協作機制推動整體安全提升。
截至2025年12月1日,QNAP透過Bounty Program收到224份弱點報告後指派CVE(Common Vulnerabilities and Exposures)ID,並成功在內部流程中快速定位並修補問題,所有Critical/Important等級漏洞均能在1週內完成修補,大幅降低產品資安潛在風險。
今年共有151位外部資安研究員為QNAP產品安全做出貢獻;截至9月,QNAP已發出US$ 88,000獎金,感謝研究社群對提升用戶資料安全的支持。QNAP將持續推動協作式漏洞揭露(CVD)文化,強化與資安社群的長期合作。
威聯通產品資安事件應變團隊(PSIRT)資深經理黃士展表示,建立透明的回報管道、攜手研究社群,是企業強化安全成熟度的重要基礎。
為確保產品能在真實威脅情境中維持高韌性,QNAP積極參與國際級競賽與第三方安全測試,包括:
- Pwn2Own 2024及Pwn2Own 2025:透過高強度攻防情境驗證產品防護能力。
- 國家資通安全研究院(NICS)產品資安漏洞獵捕活動:參與國家級資安檢測架構。
- 委託頂級資安公司進行紅隊滲透測試:以全攻擊鏈模擬方式強化QuTS hero系統韌性。
這些參與不僅提升QNAP的攻防視野,也加速內部安全機制的改善與落地。
為構建更安全與透明的產品開發環境,QNAP今年進一步強化安全軟體開發生命週期(SDLC)的關鍵環節,包括:
- AI輔助Code Review:導入AI技術提升程式碼稽核效率,透過自動化檢測降低人為疏漏。
- 建立軟體物料清單(SBOM):確保軟體元件資訊的透明度,協助企業有效管理供應鏈風險並符合相關安全規範。
- 開發與測試流程安全強化:將弱點檢測納入CI/CD自動化流程,以即早攔截問題;在QA/QC測試階段則透過專業掃描軟體提升驗證品質,使漏洞能在產品發布前被確實發現並修復。
隨著Bounty Program與內部安全流程持續拓展,QNAP正積極擴編PSIRT(Product Security Incident Response Team),尋找具資安熱忱的專業人才。歡迎更多致力於安全研究、漏洞分析與安全工程的夥伴加入,一同打造值得全球用戶信賴的安全平台。