QNAP veröffentlicht Bericht zum Fortschritt seines Programms für Sicherheitsprämien
QNAP Systems, Inc., ein führender Innovator von Computer-, Netzwerk- und Speicherlösungen, hat heute den Fortschrittsbericht des Programms für Sicherheitsprämien für das Jahr 2025 vorgestellt. Der Bericht unterstreicht das kontinuierliche Engagement des Unternehmens für Produktsicherheit sowie seine Verpflichtung zu einer transparenten und strukturierten Zusammenarbeit mit der globalen Gemeinschaft der Sicherheitsforscher.
Mit Stand vom 1. Dezember 2025 hat QNAP im Rahmen des Programms 224 Meldungen über Schwachstellen erhalten. Bestätigte Sicherheitslücken wurden mit CVE (Common Vulnerabilities and Exposures) IDs versehen und über die internen Sicherheitsprozesse von QNAP behoben. Alle als „Critical“ oder „Important” eingestuften Schwachstelle wurden innerhalb einer Woche behoben, wodurch die potenzielle Sicherheitsgefährdung deutlich reduziert wurde.
In diesem Jahr haben 151 externe Sicherheitsforscher aktiv zur Stärkung der Produktsicherheit von QNAP beigetragen. Mit Stand September hat QNAP insgesamt 88.000 US-Dollar an Bug-Bounty-Prämien vergeben und damit verantwortungsvolle Schwachstellenmeldungen sowie die Rolle der Security-Research-Community bei der Verbesserung des Schutzes von Nutzerdaten gewürdigt. QNAP wird weiterhin eine Kultur der koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD) fördern und die langfristige Zusammenarbeit mit dem globalen Sicherheitsökosystem vertiefen.
„Transparente Meldekanäle und die enge Kooperation mit der Forschungsgemeinschaft sind entscheidend, um die Sicherheitsreife eines Unternehmens nachhaltig zu stärken“, erklärte Stanley Huang, Senior Manager des Product Security Incident Response Teams (PSIRT) von QNAP.
Damit QNAP Produkte auch realen Bedrohungsszenarien standhalten, beteiligt sich das Unternehmen aktiv an internationalen Sicherheitswettbewerben sowie unabhängigen Sicherheitsbewertungen, darunter:
- Pwn2Own 2024 und Pwn2Own 2025 — Überprüfung der Abwehrmechanismen in intensiven Angriffsszenarien.
- Programme zur Suche nach Schwachstellen im öffentlichen Sektor — Validierung der Produktsicherheit durch strukturierte Tests und koordinierte Offenlegung
- Red Team Penetrationstests führender Sicherheitsunternehmen — Simulation vollständiger Angriffsketten zur weiteren Stärkung der Widerstandsfähigkeit des QuTS hero Betriebssystems
Diese Maßnahmen erweitern nicht nur QNAPs offensive und defensive Sicherheitskenntnisse, sondern beschleunigen auch die Umsetzung interner Sicherheitsverbesserungen.
Um einen sicherere und transparentere Produktentwicklungsumgebung aufzubauen, hat QNAP zentrale Komponenten seines Secure Software Development Lifecycle (SDLC) weiter verbessert, darunter:
- KI-gestützte Codeüberprüfung: Einsatz von KI Technologien zur Steigerung der Effizienz bei Codeüberprüfungen durch automatisierte Schwachstellenerkennung und Minimierung menschlicher Fehler.
- Einführung einer Software Bill of Materials (SBOM): Aufrechterhaltung einer transparenten Übersicht über Softwarekomponenten, um Organisationen dabei zu unterstützen, Lieferkettenrisiken besser zu managen und Sicherheits-Compliance-
Anforderungen zu erfüllen. - Gestärkte Sicherheit in Entwicklungs- und Testprozessen: Die Integration der Schwachstellenerkennung in die CI/CD-Automatisierung, um Probleme frühzeitig zu identifizieren, wobei während der QA/QC-Tests professionelle Scantools eingesetzt werden, damit Schwachstellen vor der Produkteinführung umfassend erkannt und behoben werden.
