Conocer las propias vulnerabilidades de sus productos para poder reforzar la seguridad es fundamental. Y por ello, QNAP cuenta con un Programa de recompensas en el que continúa invirtiendo para mejorar la respuesta de la comunidad.
La idea del programa es que los investigadores de seguridad externos puedan contribuir con sus aportaciones para garantizar la seguridad de los productos de la casa. Una colaboración que ya cuenta con el apoyo de 151 investigadores que han conseguido 88.000 dólares en recompensas.
Desde el pasado 1 de diciembre, QNAP ha recibido 224 notificaciones de vulnerabilidades a través de este programa. Los problemas verificados recibieron un identificador y se resolvieron mediante los procesos de respuesta de seguridad internos de QNAP. Todas las vulnerabilidades clasificadas como Críticas o Importantes se solucionaron en el plazo de una semana, lo que redujo significativamente la potencial exposición a riesgos de seguridad.
En el programa participan 151 investigadores que han conseguido 88.000 dólares en recompensas
“Los canales de notificación transparentes y la estrecha colaboración con la comunidad investigadora son fundamentales para reforzar la madurez de la seguridad de una organización”, afirmaba Stanley Huang, responsable senior del Equipo de respuesta a incidentes de seguridad de productos de QNAP.
Ahora la idea es continuar enriqueciendo el programa para reforzar la protección. Por ello, el fabricante participa de forma activa en competiciones de seguridad internacionales y evaluaciones de seguridad de terceros, entre las que se incluyen:
- Pwn2Own 2024 y Pwn2Own 2025: en las que se validan las defensas de los productos en escenarios de ataques de alta intensidad
- Programas de búsqueda de vulnerabilidades del sector público: en los que se valida la seguridad del producto mediante pruebas estructuradas y una divulgación coordinada
- Pruebas de penetración del equipo rojo (Red Team) realizadas por empresas de seguridad líderes: en las que se simulan cadenas de ataque completas para reforzar aún más la resiliencia del sistema operativo QuTS hero
Además, QNAP ha mejorado su Ciclo de vida del desarrollo de software seguro con revisión de código asistida por IA, visibilidad de materiales de software y seguridad reforzada en flujos de trabajo de desarrollo y pruebas.
