为了使其产品和服务更加安全可靠,越来越多的企业开始采用漏洞奖励制度。这个项目的理念就是从报告安全漏洞的研究人员那里收集信息安全漏洞,这些漏洞会导致不可弥补的损失,而这一点之前并不知道。安全分析员提出漏洞报告并随后确认的人员可获得金钱奖励。这一概念开始流行起来,世界科技巨头微软、谷歌和Facebook也推出了类似的项目,目的是向全球的研究者寻求帮助,找出潜在的安全漏洞,从而给产品和技术带来巨大威胁。参加。
Synology群晖是第一个执行这类项目的数据存储供应商之一,他希望得到有经验的研究者的帮助来提高产品的安全性。“同步”是一种将最安全的产品带给客户,并在很早以前就有了建立安全响应团队的想法。
推动产品安全性的进步。
塞诺格采取了实际行动,并积极参与到与信息安全有关的活动中。比如,Synology参与了HITCON2015,当参与者在一个测试平台上发现安全漏洞时,就会得到NAS的奖励。Synology于2016年访问了日本,了解了CERT/CC对安全事件作出反应的方式,包括发现、分类、补救和披露过程。同一年,Synology成立了产品安全事故应急小组(PSIRT),以确保产品安全,处理安全事故,并实施安全漏洞奖励计划。
在PSIRT收到漏洞报告后,首先要做的工作之一是验证报告的正确性,以确定索赔是否正确。在验证了漏洞之后,可能会同时提交大量报告;因此,团队必须根据漏洞的严重程度对其进行排序。PSIRT随后进入了修补程序,在这个程序中测试和修补报告的漏洞。最终,当补丁就绪后,PM团队会向公众发布建议和更新。PSIRT随后将该漏洞添加到“常见漏洞与披露”列表(CVE)中。为鼓励安全研究者报告安全漏洞,漏洞奖金计划向报告有效漏洞的人提供金钱奖励。不过,参赛者必须符合若干条件才有资格获选。第一,你必须是第一个发现漏洞的人。第二,要确保漏洞是有效的,可以被复制。最终,你必须遵守该计划的条款。
PSIRT的未来之路
Synology已经收到了来自全球研究者的宝贵反馈,因为他们发现了一个严重的安全漏洞,这是一个漏洞奖励项目。举例来说,有一份报告称存在严重的安全漏洞,在“通用漏洞评分系统”中,该漏洞被评为9.8分。3(CVSS)。Synology可以采取先发制人的措施,以最大限度地减少漏洞对潜在脆弱产品和服务造成的破坏。由于Synology非常重视用户数据的安全,所以我们采用综合的方法来保护用户的信息安全。举例来说,我们一直在做的“设计安全性”政策强调在开发期间考虑所有的安全性。欢迎有经验的安全分析人员加入我们的团队。"同步安全"将积极参与更多的全球第三方安全平台,以促进与安全研究社区更密切的协调与合作,从而增加对我们产品和服务的审查。
如您对SynologyBug奖励计划感兴趣,欢迎您的加入!
地址:北京市海淀区白家疃尚品园 1号楼225
北京群晖时代科技有限公司