Seems like there is a more localized page available for your location.
Synology'den Bee Serisi
Ürünler A - Z
Güvenlik Hata Ödül Programı
Tehditler hem sıklıkta hem de karmaşıklıkta arttıkça, Synology güvenlik araştırmacılarıyla işbirliği yaparak korumalarımızı sürdürmekte ve daha da güçlendirmektedir.
Ürün kapsamıBu program yalnızca Synology'nin ürünleri ve web hizmetleri ile ilgili güvenlik açığı raporlarını kabul eder. Programın kapsamı dışında kalan güvenlik açığı raporları genellikle ödül için uygun değildir; ancak, duruma bağlı olarak kritik güvenlik açıklarının dışında kalan raporlar kabul edilebilir.

İşletim sistemleri

Kadar ödüller

US $30,000

Synology DiskStation Manager, Synology Router Manager ve Synology BeeStation içerir.

Daha fazla bilgi

Yazılım ve C2 bulut hizmetleri

Kadar ödüller

US $10,000

Synology tarafından geliştirilen yazılım paketleri, ilgili mobil uygulamalar ve C2 bulut hizmetlerini içerir.

Daha fazla bilgi

Web hizmetleri

Kadar ödüller

US $10,000

Tüm önemli Synology web hizmetlerini içerir.

Daha fazla bilgi
Ödül Detayları
Ödül uygunluk kriterleri
Rapor edilen sorunları tekrar üretebilmemiz için gerekli olan tüm bilgileri sağlayın. Her ödülün büyüklüğü, rapor edilen güvenlik açığının ciddiyetine ve etkilenen ürün kategorisine bağlıdır.Parasal ödüller için uygunluk, raporlar aşağıdaki kriterleri karşılamalıdır:
  1. Bu güvenlik açığını rapor eden ilk araştırmacı sizsiniz
  2. Rapor edilen güvenlik açığı doğrulanabilir, tekrarlanabilir ve geçerli bir güvenlik sorunu olduğu onaylanmıştır
  3. Raporunuz, Ödül Programı'nın şartlarına ve yönetmeliklerine uygunluk gösterir
Güvenlik hatalarını raporlamaBir güvenlik açığı bulduğunuzu düşünüyorsanız, lütfen aşağıdaki adımları izleyin:
Adım 1

Ödül Programı iletişim formu kullanarak bize ulaşın.

Adım 2

Hata raporlarını Synology'ye gönderirken bilgilerinizi şifrelemek için bu PGP anahtarını kullanın.

Adım 3

Kapsamlı bir Kanıt Konsepti (PoC) ekleyin ve rapor edilen sorunların tekrar üretilebildiğinden emin olun.

Adım 4

Açıklamanızı öz ve net tutun. Örneğin, kısa bir kanıt-konsept bağlantısı, bir SSRF sorununun sonuçlarını açıklayan bir videoya göre daha değerlidir.

Sorumluluklarınız ve bizim sorumluluklarımızRaporunuzİyi bir güvenlik açığı raporu, işlem süremizi azaltmak için:
  1. Açıkça yazılmış adım adım açıklama içermelidir İngilizce güvenlik açığını nasıl tekrar üretebileceğinizi
  2. Synology ürünlerini veya web hizmetlerini nasıl etkilediğini göstermeli ve hangi sürümlerin ve platformların etkilendiğini açıklamalıdır
  3. Rapor edilen güvenlik açığının potansiyel zararını belirtmelidir
Cevabımız
Synology Güvenlik Ekibi, raporunuza 7 gün içinde yanıt verecek ve tehdidin ciddiyetine bağlı olarak durumu düzenli olarak güncelleyecek ve güvenlik açığını mümkün olan en kısa sürede düzeltecektir.Eğer güvenlik açığı raporunuz maddi bir ödül kazanmaya hak kazanırsa, adınız takdirimizin bir göstergesi olarak resmi web sitemizdeki Synology Ürün Güvenlik Danışma sayfasında listelenecektir.Bu süreç en az 90 gün sürecektir. Süreç tamamlandığında ödülünüz size aktarılacaktır.
Notlar:Synology, bu programı ve politikalarını, önceden haber vermeksizin, her zaman değiştirme veya iptal etme hakkını saklı tutar.
İşletim sistemleri
Ödül

Uygun raporlar, US$30,000'a kadar ödül kazanmaya hak kazanır.*

Kapsam içindeki ürünler

Yalnızca resmi olarak yayınlanmış sürümler hakkında raporlar kabul edilir.

DiskStation Manager (DSM)

  • DSM 7 (en son sürüm)

Synology Router Manager (SRM)

  • SRM 1.3 (en son sürüm)

Synology Kamera yazılımı

  • Firmware 1.1 (en son sürüm)

Synology BeeStation

  • BeeStation OS 1.0 (son sürüm)
Düzenlemeler ve kısıtlamalar

Bu program, yalnızca Synology ürünleri ve hizmetlerinde bulunan güvenlik açıklarına sınırlıdır. Synology sunucularına veya verilerine potansiyel olarak zarar verebilecek veya zararlı etkileyebilecek eylemler kesinlikle yasaktır. Güvenlik açığı testi, yerel veya Tayvan yasalarını ihlal etmemelidir.

Program kapsamında kabul edilmeyen güvenlik açığı raporları, açıklanmış veya içeren durumları şunları içerir:

  1. Synology'nin veya kullanıcıların sunucularına yönelik DoS (Hizmet Dışı Bırakma) saldırıları
  2. Synology'nin veya kullanıcıların sunucularına veya verilerine zarar veren güvenlik açığı testleri
  3. Fiziksel saldırılar veya sosyal mühendislik
  4. Synology tarafından onaylanmadan hata bilgilerinin açıklanması
  5. Eski hizmetlerde veya ürünlerde kritik olmayan güvenlik açıkları
  6. Sadece eski web tarayıcılarını etkileyen güvenlik açıkları
  7. Çoğu türde kaba kuvvet saldırısı
  8. Yansıtılmış XSS saldırıları veya Kendi Kendine XSS saldırıları
  9. Phishing, sahte web siteleri oluşturma veya dolandırıcılık içeren güvenlik açıkları
  10. Güvenlik açığının etkilerini detaylandırmayan güvenlik tarama raporları
  11. Varsayılan portların güvenlik açığına sahip olduğuna dair işaretler, ancak bir PoC sağlamadan
    12. li>Somut Bir Konsept Kanıtı (PoC) olmayan teorik güvenlik açıkları
  12. Tek başına açık yönlendirmeler genellikle bilgilendirici olarak kabul edilir ve daha önemli bir güvenlik açığına katkıda bulunmadıkça ödül için uygun değildir
  13. Doğrudan sömürüye yol açmayan güvenlik başlıklarının eksikliği
  14. Çerezlerde güvenlik bayraklarının eksikliği
  15. Kullanıcı numaralandırması. Kullanıcı numaralandırmasını açıklayan raporlar, kullanıcılarımızı korumak için herhangi bir hız sınırımız olmadığını gösteremediğiniz sürece kapsam dışındadır.
*Daha fazla ayrıntı için Güvenlik Hata Programı web sayfasındaki Ödül Ayrıntıları sayfasına bakın.
**SRM_LAN'deki güvenlik açıkları için maksimum ödül $5,000.
***Kamera yazılımındaki güvenlik açıkları için maksimum ödül $10,000.
Yazılım ve C2 bulut hizmetleri
Ödül

Uygun raporlar 10.000 ABD dolarına kadar ödül kazanabilir.*

Kapsam içindeki ürünler

Yalnızca resmi olarak yayınlanmış sürümler hakkında raporlar kabul edilir.

Paketler

Synology tarafından geliştirilen yazılım paketleri

Masaüstü istemcileri

Synology tarafından geliştirilen Windows, macOS ve Linux uygulamaları

Mobil uygulamalar

Synology tarafından geliştirilen Android ve iOS için mobil uygulamalar

Synology Hesabı

  • *.account.synology.com alanları
  • *.identity.synology.com alanları

C2 hizmetleri

*.c2.synology.com alanları

Düzenlemeler ve kısıtlamalar

Bu program, yalnızca Synology ürünleri ve hizmetlerinde bulunan güvenlik açıkları ile sınırlıdır. Synology sunucularına veya verilerine potansiyel olarak zarar verebilecek veya zarar verebilecek eylemler kesinlikle yasaktır. Güvenlik açığı testleri yerel veya Tayvan yasalarını ihlal etmemelidir.

Program kapsamında kabul edilmeyen güvenlik raporları, açıklanan veya içeren durumları şu şekilde tanımlar:

  1. Synology'nin veya kullanıcıların sunucularına yönelik DoS (Hizmet Dışı Bırakma) saldırıları
  2. Synology'nin veya kullanıcıların sunucularına veya verilerine zarar veren güvenlik açığı testleri
  3. Fiziksel saldırılar veya sosyal mühendislik
  4. Synology tarafından onaylanmadan hata bilgilerinin açıklanması
  5. Eski hizmetlerde veya ürünlerde kritik olmayan güvenlik açıkları
  6. Sadece eski web tarayıcılarını etkileyen güvenlik açıkları
  7. Çoğu türde kaba kuvvet saldırısı
  8. Yansıtılmış XSS saldırıları veya Kendi Kendine XSS saldırıları
  9. Phishing, sahte web siteleri oluşturma veya dolandırıcılık içeren güvenlik açıkları
  10. Güvenlik açığının etkilerini detaylandırmayan güvenlik tarama raporları
  11. Varsayılan portların güvenlik açığına sahip olduğuna dair işaretler, ancak bir PoC sağlamadan
  12. Somut Bir Konsept Kanıtı (PoC) olmayan teorik güvenlik açıkları
  13. Tek başına açık yönlendirmeler genellikle bilgilendirici olarak kabul edilir ve daha önemli bir güvenlik açığına katkıda bulunmadıkça ödül için uygun değildir
  14. Doğrudan sömürüye yol açmayan güvenlik başlıklarının eksikliği
  15. Çerezlerde güvenlik bayraklarının eksikliği
  16. Kullanıcı numaralandırması. Kullanıcı numaralandırmasını açıklayan raporlar, kullanıcılarımızı korumak için herhangi bir hız sınırımız olmadığını gösteremediğiniz sürece kapsam dışındadır.
*Daha fazla detay için Güvenlik Hata Programı web sayfasındaki Ödül Detayları sayfasına bakınız.
Web hizmetleri
Ödül

Uygun raporlar 5.000 ABD dolarına kadar ödül kazanabilir.*

Kapsam içindeki ürünler

Kapsam içinde olan alanlar (alt alanlar dahil):

*.synology.com

Aşağıdaki alan adları (alt alanlar dahil) kapsam dışındadır:

openstack-ci-logs.synology.com, router.synology.com

Synology bu listeyi önceden haber vermeden değiştirme hakkını saklı tutar.

Yönetmelikler ve kısıtlamalar

Bu program, yalnızca Synology ürünleri ve hizmetlerinde bulunan güvenlik açıklarına sınırlıdır. Synology sunucularına veya verilerine potansiyel olarak zarar verebilecek veya zararlı etkilerde bulunabilecek eylemler kesinlikle yasaktır. Güvenlik açığı testleri yerel veya Tayvan yasalarını ihlal etmemelidir.

Program kapsamında kabul edilmeyen güvenlik açığı raporları aşağıdakileri açıklar veya içerir:

  1. DoS (Hizmet Reddi) saldırıları Synology’nin veya kullanıcıların sunucularına
  2. Synology’nin veya kullanıcıların sunucularına veya verilerine zararlı güvenlik açığı testleri
  3. Fiziksel saldırılar veya sosyal mühendislik
  4. Synology tarafından onaylanmadan hata bilgilerinin açıklanması
  5. https://*archive.synology.com adresinde dizin gezintisi
  6. Yansıtılmış dosya indirme
  7. Yazılım sürüm bilgilerinin ifşası veya banner kapma sorunları
  8. 90 gün içinde açıklanan 0-day güvenlik açığı
  9. Eski hizmetlerde veya ürünlerde kritik olmayan güvenlik açıkları
  10. Yalnızca eski web tarayıcılarını etkileyen güvenlik açıkları
  11. Çoğu türde kaba kuvvet saldırısı
  12. Yansıtılmış XSS saldırıları veya Kendi Kendine XSS saldırıları
  13. Dolandırıcılık yapma, sahte web siteleri oluşturma veya phishing ile ilgili güvenlik açıkları
  14. Güvenlik açığının etkilerini detaylandırmayan güvenlik tarama raporları
  15. Varsayılan portların güvenlik açığına sahip olduğunu gösteren işaretler, ancak PoC sağlamadan
    16. li>Somut Kanıt Konsepti (PoC) olmayan teorik güvenlik açıkları
  16. Tek başına açık yönlendirmeler genellikle bilgilendirici olarak kabul edilir ve daha önemli bir güvenlik açığına katkıda bulunmadıkça ödül için uygun değildir
  17. Doğrudan sömürüye yol açmayan eksik güvenlik başlıkları
  18. Çerezlerde eksik güvenlik bayrakları
  19. Kullanıcı numaralandırması. Kullanıcı numaralandırmasını açıklayan raporlar, kullanıcılarımızı korumak için herhangi bir hız sınırımız olmadığını gösteremediğiniz sürece kapsam içinde değildir.
*Daha fazla detay için Güvenlik Hata Programı web sayfasındaki Ödül Detayları sayfasına bakınız.
Ödül detayları
Bu sayfa, araştırmacıların belirli türdeki güvenlik açıkları için potansiyel maksimum ödülleri anlamalarına yardımcı olmak ve Synology'nin en çok değer verdiği güvenlik açıkları türlerini vurgulamak için tasarlanmıştır. Katkılarınızı değerli buluyoruz ve önemli güvenlik araştırmalarını adil bir şekilde ödüllendirmeye adanmış durumdayız.Tablodaki ödüller her kategori için mümkün olan maksimumu gösterir, ancak her uygun rapor listelenen miktarı almayı garanti etmez.*
Kritik
İşletim sistemleriYazılım ve C2 bulut hizmetleriWeb hizmetleri
Zero-click pre-auth RCE$30,000$10,000$5,000
Zero-click pre-auth arbitrary file r/w$9,000$4,600$2,400
Önemli
İşletim sistemleriYazılım ve C2 bulut hizmetleriWeb hizmetleri
1-click pre-auth RCE$8,000$4,000$2,000
Zero-click normal-user-auth RCE$7,500$3,900$1,900
Zero-click normal-user-auth arbitrary file r/w$6,500$3,400$1,700
Zero-click pre-auth RCE (AC:H)$6,500$3,400$1,700
1-click pre-auth RCE (AC:H)$5,000$2,500$1,325
pre-auth SQL injection$3,800$1,950$1,025
1-click normal-user-auth RCE (AC:H)$2,600$1,350$725
pre-auth stored XSS$2,600$1,350$725
Orta
İşletim sistemleriYazılım ve C2 bulut hizmetleriWeb hizmetleri
normal-user-auth stored XSS$1,350$733$417
normal-user-auth SQL injection$1,200$607$353
admin-auth vulnerabilities$100$100$100
  1. 1 Ekim 2024'ten itibaren admin-auth güvenlik açığı ödülleri 100 $ USD olarak belirlenecektir.
  2. Masaüstü İstemciler için, CVSS vektörü aşağıdakilerden herhangi birini içeriyorsa, ödül 100 $ USD olarak belirlenir:
    • AV:L
    • AV:A
    • AV:N/AC:H

Notlar:

  • Ödüller için rehberlik sağlanmıştır, ancak her rapor bireysel olarak ele alınır ve kapsamlı bir şekilde değerlendirilir. Puanlama, ödül cetvelinde ayrıntılı olarak belirtilen kapsam dahil olmak üzere çeşitli faktörleri dikkate alır. Synology, ödül miktarlarının nihai yorum hakkını saklı tutar.
  • Düşük ciddiyetli sorunlar veya öneriler için sadece onaylar verilecektir.
SSSBir güvenlik açığını nasıl bildirmeliyim?Lütfen detaylı bir PoC (Kavram Kanıtı) sağlayın ve rapor edilen sorunların tekrar üretilebildiğinden emin olun. Bize hata raporları gönderirken Synology tarafından sunulan bu PGP anahtar şifrelemesini kullanın ve ilgili bilgileri üçüncü bir tarafa açıklamayın.Hata raporumun ödül için uygun olup olmadığını kim belirler?Tüm hata raporları, Synology’nin kıdemli güvenlik analistlerinden oluşan Synology Güvenlik Ekibi tarafından gözden geçirilir ve değerlendirilir.Bir hata düzeltilmeden önce kamuoyuna açıklanırsa sonuç ne olur?Hata raporlarına hızlı bir şekilde yanıt vermeye ve makul bir süre içinde onları düzeltmeye çalışıyoruz. Lütfen hata bilgisini kamuoyuna açıklamadan önce bizi önceden bilgilendirin. Bu ilkeyi takip etmeyen herhangi bir hata açıklaması ödül için uygun olmayacaktır.Apache veya Nginx gibi eski yazılımlarda bulunan güvenlik açıkları ödül için uygun mudur?Yazılımdaki güvenlik açıklarını belirleyin ve neden onların yazılım kullanımı için zararlı olduğundan şüphelendiğinizi açıklayın. Bu tür bilgileri içermeyen raporlar genellikle ödül için uygun değildir.Synology’nin Güvenlik Danışmanlığı sayfasında ismimin listelenmemesini talep edebilir miyim?Evet. Güvenlik Danışmanlığı sayfamızda isminizin listelenmemesini talep edebilirsiniz. Ancak, bir ödül için uygun olduğunuz ve kabul etmek istediğiniz takdirde, ödemeyi işlemek için iletişim bilgilerinize hala ihtiyacımız olacak.Güvenlik açıkları, güvenlik açığı brokerlerine bildirilirse hala ödül için uygun mudur?Bir güvenlik açığını, hata düzeltme dışındaki amaçlar için üçüncü taraflara özel olarak açıklamak, programımızın ruhuna aykırıdır. Bu nedenle, bu tür raporlar ödül için uygun olmayacaktır.Aynı hatayı birden fazla kişi bildirdiyse ödül kimin hakkı olur?Ödül, daha önce bizim tarafımızdan bilinmeyen bir güvenlik açığını keşfeden ilk kişiye verilir.
TeşekkürlerGüvenlik araştırmacılarına ve bize yardımcı olan kuruluşlara şapka çıkarmak istiyoruz.
  • David Oxley
  • Abdelali Chekiel