Seems like there is a more localized page available for your location.
Store

Oversigt over indkøbskurven ()

I alt (undefined varer)Inkl. moms undefined%. Forsendelsen vil blive beregnet ved kassen.

Fortsæt med at købe

Bee-serien fra Synology
Produkter A-Z
Store
Security Bug Bounty Program
I takt med at truslerne udvikles og øges både med hensyn til hyppighed og effektivitet, arbejder Synology sammen med sikkerhedsefterforskere om at opretholde og yderligere styrke sikkerheden.
ProduktomfangDette program accepterer kun sårbarhedsrapporter relateret til Synologys produkter og webtjenester. Sårbarhedsrapporter, der falder uden for programmets omfang, berettiger generelt ikke til belønning. Rapporter om kritiske sårbarheder kan dog blive accepteret afhængigt af situationen.

Operativsystemer

Belønninger på op til

US $30.000

Indeholder Synology DiskStation Manager, Synology Router Manager og Synology BeeStation.

Få mere at vide

Software og C2 Cloud Services

Belønninger på op til

US $10.000

Indeholder softwarepakker udviklet af Synology, relaterede mobilapps og C2 Cloud Services.

Få mere at vide

Webtjenester

Belønninger på op til

US $5.000

Omfatter alle større Synology-webtjenester.

Få mere at vide
Oplysninger om belønninger
Kriterier for udbetaling af belønning
Angiv alle de oplysninger, vi skal bruge for at genskabe de rapporterede problemer. Størrelsen af hver belønning afhænger af alvorsgraden af den rapporterede sårbarhed, og hvilken produktkategori der påvirkes.For at kvalificere sig til pengebaserede belønninger skal rapporterne opfylde følgende kriterier:
  1. Du er den første efterforsker, der rapporterer denne sårbarhed
  2. Den rapporterede sårbarhed skal være verificerbar, replikerbar og et gyldigt sikkerhedsproblem
  3. Din rapport er i overensstemmelse med vilkår og betingelser for Bounty Program
Rapporter sikkkerhedsproblemerHvis du mener, at du har fundet en sårbarhed, skal du følge nedenstående trin:
Trin 1

Kontakt os ved hjælp af Bounty Program-kontaktformularen.

Trin 2

Brug denne PGP-nøgle til at kryptere dine oplysninger, når du sender fejlrapporter til Synology.

Trin 3

Vedlæg en PoC (Proof of Concept), og sørg for, at de rapporterede problemer kan reproduceres.

Trin 4

Hold din beskrivelse kort og præcis. For eksempel er et kort PoC-link mere brugbart end en video, der forklarer konsekvenserne af et SSRF-problem.

Dit og vores ansvarDin rapportVores behandlingstid kan reduceres, hvis en god sårbarhedsrapport:
  1. Indeholder en tydeligt skrevet trinvis beskrivelse på engelsk af, hvordan sårbarheden reproduceres
  2. Vis, hvordan sårbarheden påvirker Synology-produkter eller -webtjenester, og beskriv, hvilke versioner og platforme der er berørt
  3. Angiv den potentielle skade, som den rapporterede sårbarhed har forårsaget
Vores svar
Synology Security Team vil reagere på din rapport inden for 7 dage og regelmæssigt opdatere status og rette sårbarheden så hurtigt som muligt, afhængigt af hvor alvorlig truslen er.Hvis din sårbarhedsrapport berettiger til en pengebaseret belønning, vil dit navn blive vist på siden Synology produktsikkerhedsvejledning på vores officielle websted som et tegn på vores anerkendelse.Denne proces vil tage op til 90 dage. Din belønning vil blive overført til dig, når processen er fuldført.
Noter:Synology forbeholder sig ret til når som helst og uden forudgående varsel at ændre eller annullere dette program, herunder dets politikker.
Operativsystemer
Belønning

Kvalificerede rapporter er berettigede til en belønning på op til$30.000 US.*

Omfattede relevante produkter

Kun rapporter om officielt frigivne versioner accepteres.

DiskStation Manager (DSM)

  • DSM 7 (seneste version)

Synology Router Manager (SRM)

  • SRM 1.3 (seneste version)

Synology Camera-firmware

  • Firmware 1.1 (nyeste version)

Synology BeeStation

  • BeeStation OS 1.0 (seneste version)
Regler og begrænsninger

Dette program er udelukkende begrænset til de sikkerhedsrisici, der findes i Synology-produkter og -tjenester. Handlinger, der kan beskadige eller påvirke Synologys servere eller data negativt, er strengt forbudt. Sårbarhedstest må ikke være i strid med lokal eller taiwansk lovgivning.

Sårbarhedsrapporter accepteres ikke under programmet, hvis de beskriver eller omfatter:

  1. DoS-angreb (Denial of Service) på Synologys eller brugernes servere
  2. Test af sårbarhed, der er skadelig for Synologys eller brugernes servere eller data
  3. Fysiske dataangreb eller social manipulation
  4. Afsløring af oplysninger om fejl Synologys godkendelse
  5. Ikke-kritiske sårbarheder i forældede tjenester eller produkter
  6. Sårbarheder, der kun påvirker forældede webbrowsere
  7. De fleste typer Brute force-angreb
  8. Reflected XSS-angreb eller Self XSS-angreb
  9. Sårbarheder, der involverer phishing, oprettelse af falske websteder, eller i forbindelse med svindel
  10. Scanningsrapporter vedrørende sårbarhed, som ikke indeholder oplysninger om sårbarhedernes påvirkninger
  11. Indikationer af, at stardardporte er sårbare, men uden PoC
  12. Teoretiske sårbarheder, der mangler PoC (Proof of Concept)
  13. Åbne omdirigeringer alene betragtes typisk som informative og berettiger ikke til belønninger, medmindre de bidrager til en mere betydelig sårbarhed
  14. Manglende sikkerhedsoverskrifter, der ikke direkte fører til udnyttelse
  15. Manglende sikkerhedsflag i cookies
  16. Brugeroptælling. Rapporter, der beskriver brugeroptælling, er ikke omfattet, medmindre du kan påvise, at vi ikke har nogen rategrænser på plads for at beskytte vores brugere.
*Se siden med oplysninger om belønninger på websiden Security Bug Program for at få flere oplysninger.
**Den maksimale belønning for sårbarheder i SRM_LAN er $5.000.
***Den maksimale belønning for sårbarheder i kamerafirmware er $10.000.
Software og C2 Cloud Services
Belønning

Kvalificerede rapporter er berettigede til en belønning på op til$10.000 US.*

Omfattede relevante produkter

Kun rapporter om officielt frigivne versioner accepteres.

Pakker

Software-pakker udviklet af Synology

Desktopklienter

Windows-, macOS- og Linux-programmer udviklet af Synology

Mobilapps

Mobilapps til Android og iOS udviklet af Synology

Synology-konto

  • *.account.synology.com-domæner
  • *.identity.synology.com-domæner

C2 Services

*.c2.synology.com-domæner

Regler og begrænsninger

Dette program er udelukkende begrænset til de sikkerhedsrisici, der findes i Synology-produkter og -tjenester. Handlinger, der kan beskadige eller påvirke Synologys servere eller data negativt, er strengt forbudt. Sårbarhedstest må ikke være i strid med lokal eller taiwansk lovgivning.

Sårbarhedsrapporter accepteres ikke under programmet, hvis de beskriver eller omfatter:

  1. DoS-angreb (Denial of Service) på Synologys eller brugernes servere
  2. Test af sårbarhed, der er skadelig for Synologys eller brugernes servere eller data
  3. Fysiske dataangreb eller social manipulation
  4. Afsløring af oplysninger om fejl Synologys godkendelse
  5. Ikke-kritiske sårbarheder i forældede tjenester eller produkter
  6. Sårbarheder, der kun påvirker forældede webbrowsere
  7. De fleste typer Brute force-angreb
  8. Reflected XSS-angreb eller Self XSS-angreb
  9. Sårbarheder, der involverer phishing, oprettelse af falske websteder, eller i forbindelse med svindel
  10. Scanningsrapporter vedrørende sårbarhed, som ikke indeholder oplysninger om sårbarhedernes påvirkninger
  11. Indikationer af, at stardardporte er sårbare, men uden PoC
  12. Teoretiske sårbarheder, der mangler PoC (Proof of Concept)
  13. Åbne omdirigeringer alene betragtes typisk som informative og berettiger ikke til belønninger, medmindre de bidrager til en mere betydelig sårbarhed
  14. Manglende sikkerhedsoverskrifter, der ikke direkte fører til udnyttelse
  15. Manglende sikkerhedsflag i cookies
  16. Brugeroptælling. Rapporter, der beskriver brugeroptælling, er ikke omfattet, medmindre du kan påvise, at vi ikke har nogen rategrænser på plads for at beskytte vores brugere.
*Se siden med oplysninger om belønninger på websiden Security Bug Program for at få flere oplysninger.
Webtjenester
Belønning

Kvalificerede rapporter er berettigede til en belønning på op til US $5.000.*

Omfattede relevante produkter

Følgende domæner (herunder underdomæner) er omfattet:

*.synology.com

Følgende domæner (herunder underdomæner) er ikke omfattet:

openstack-ci-logs.synology.com, router.synology.com

Synology forbeholder sig ret til når som helst at ændre denne liste uden varsel.

Regler og begrænsninger

Dette program er udelukkende begrænset til de sikkerhedsrisici, der findes i Synology-produkter og -tjenester. Handlinger, der kan beskadige eller påvirke Synologys servere eller data negativt, er strengt forbudt. Sårbarhedstest må ikke være i strid med lokal eller taiwansk lovgivning.

Sårbarhedsrapporter accepteres ikke under programmet, hvis de beskriver eller omfatter:

  1. DoS-angreb (Denial of Service) på Synologys eller brugernes servere
  2. Test af sårbarhed, der er skadelig for Synologys eller brugernes servere eller data
  3. Fysiske angreb eller social manipulation
  4. Afsløring af oplysninger om fejl før Synologys godkendelse
  5. Directory Traversal på https://*archive.synology.com
  6. Reflected File Download
  7. Bannergrabbing eller afsløring af softwareversioner
  8. 0-day-sårbarhed offentliggjort inden for 90 dage
  9. Ikke-kritiske sårbarheder i forældede tjenester eller produkter
  10. Sårbarheder. der kun påvirker forældede webbrowsere
  11. De fleste typer Brute force-angreb
  12. Reflected XSS-angreb eller Self XSS-angreb
  13. Sårbarheder, der omfatter phishing, oprettelse af falske websteder eller i forbindelse med svindel
  14. Scanningsrapporter vedrørende sårbarheder, som ikke indeholder oplysninger om sårbarhedernes påvirkninger
  15. Indikationer af at stardardporte er sårbare uden en PoC
  16. Teoretisk sårbarheder, der mangler PoC (Proof of Concept)
  17. Åbne omdirigeringer alene betragtes typisk som informative og berettiger ikke til belønninger, medmindre de bidrager til en mere betydelig sårbarhed
  18. Manglende sikkerhedsoverskrifter, der ikke er direkte fører til udnyttelse
  19. Manglende sikkerhedsflag i cookies
  20. Brugeroptælling. Rapporter, der beskriver brugeroptælling, er ikke omfattet, medmindre du kan påvise, at vi ikke har nogen rategrænser på plads for at beskytte vores brugere.
*Se siden med oplysninger om belønninger på websiden Security Bug Program for at få flere oplysninger.
Oplysninger om belønninger
Denne side er beregnet til at hjælpe efterforskere med at forstå de potentielle maksimale belønninger for specifikke typer af sårbarheder og til at fremhæve de typer sårbarheder, som Synology lægger mest vægt på. Vi sætter pris på dine bidrag og udbetaler attraktive belønninger for grundige sikkerhedsundersøgelser.Belønningerne i tabellen viser det maksimalt mulige beløb for hver kategori, men det garanteres ikke, at alle berettigede rapporter modtager det angivne beløb. *
Kritisk
OperativsystemerSoftware og C2 Cloud ServicesWebtjenester
Zero-click pre-auth RCE$30.000$10.000$5.000
Zero-click pre-auth arbitrary file r/w$9.000$4.600$2.400
Vigtigt
OperativsystemerSoftware og C2 Cloud ServicesWebtjenester
1-click pre-auth RCE$8.000$4.000$2.000
Zero-click normal-user-auth RCE$7.500$3.900$1.900
Zero-click normal-user-auth arbitrary file r/w$6.500$3.400$1.700
Zero-click pre-auth RCE (AC:H)$6.500$3.400$1.700
1-click pre-auth RCE (AC:H)$5.000$2.500$1.325
pre-auth SQL injection$3.800$1.950$1.025
1-click normal-user-auth RCE (AC:H)$2.600$1.350$725
pre-auth stored XSS$2.600$1.350$725
Moderat
OperativsystemerSoftware og C2 Cloud ServicesWebtjenester
normal-user-auth stored XSS$1.350$733$417
normal-user-auth SQL injection$1.200$607$353
admin-auth vulnerabilities$100$100$100
  1. Fra den 1. oktober 2024 er belønninger for admin-auth-sårbarheder USD 100.
  2. Hvis CVSS-vektoren for desktopklienter omfatter et af følgende, er belønningen USD 100:
    • AV:L
    • AV:A
    • AV:N/AC:H

Noter:

  • Bemærk, at mens der gives retningslinjer for belønninger, behandles hver rapport individuelt og grundigt. Scoring tager højde for forskellige faktorer, herunder, men ikke begrænset til, omfanget, der er beskrevet i afsnittet om belønninger. Synology forbeholder sig ret til endelig fortolkning af belønningsbeløbene.
  • Ved problemer, der er klassificeret som lav alvorsgrad eller forslag, vil der kun blive givet bekræftelser.
Ofte stillede spørgsmålHvordan skal jeg rapportere en sårbarhed?Angiv detaljeret PoC (Proof of Concept), og sørg for, at de rapporterede problemer kan reproduceres. Brug denne PGP-krypteringsnøgle, som Synology stiller til rådighed, når du sender fejlrapporter til os, og undlad at videregive de relevante oplysninger til tredjepart.Hvem er ansvarlig for at afgøre, om min fejlrapport er berettiget til en belønning?Alle fejlrapporter gennemgås og evalueres af Synology Security Team, som består af Synologys erfarne sikkerhedsanalytikere.Hvad er konsekvensen, hvis en fejl offentliggøres, før den rettes?Vi bestræber os på at reagere hurtigt på fejlrapporter og udbedre dem inden for en rimelig tidsperiode. Giv os besked på forhånd, før du offentliggør fejloplysningerne. Enhver afsløring af fejl, hvor dette princip ikke følges, vil ikke være berettiget til belønning.Er sårbarheder, der er fundet i forældet software som f.eks. Apache eller Nginx, berettiget til en belønning?Identificer sårbarhederne i softwaren, og forklar, hvorfor du har mistanke om, at de er skadelige softwaren. Rapporter, der udelader denne type oplysninger, er normalt ikke berettiget til belønning.Kan jeg anmode om, at mit navn ikke vises på Synologys side med sikkerhedsrådgivning?Ja. Du kan anmode om ikke at blive vist på vores side med sikkerhedsrådgivning. Men hvis du er berettiget til en belønning og ønsker at acceptere den, har vi stadig brug for dine kontaktoplysninger for at kunne behandle betalingen.Er sårbarheder stadig berettigede til en belønning, hvis de rapporteres til sårbarhedsmæglere?Privat afsløring af en sårbarhed over for tredjeparter med andre formål end fejlrettelse er i modstrid med formålet med vores program. Sådanne rapporter vil derfor ikke være berettiget til en belønning.Hvem er berettiget til en belønning, hvis den samme fejl rapporteres af mere end én person?Belønningen gives til den første person, der opdager en sårbarhed, der ikke er kendt af os.
AnerkendelseVi vil gerne give et tip til sikkerhedsefterforskere og -organisationer, der har hjulpet os.
  • David Oxley
  • Abdelali Chekiel