A QNAP Systems apresentou os resultados anuais do seu QNAP Bounty Program 2025: cibersegurança e resposta rápida, destacando a correção de vulnerabilidades críticas num prazo máximo de uma semana.
O investimento de $88.000$ dólares em recompensas permitiu tratar 224 falhas de segurança comunicadas por investigadores externos até dezembro. Esta estratégia visa reforçar a integridade das soluções de armazenamento e redes num contexto de ameaças cibernéticas sofisticadas.
Aceleração no ciclo de correção de vulnerabilidades
A colaboração com 151 investigadores de segurança resultou na identificação e atribuição de IDs de CVE a diversos problemas técnicos verificados. A marca alega que a prioridade reside na mitigação célere, garantindo que as falhas classificadas como Críticas ou Importantes sejam resolvidas em sete dias. Este ritmo de resposta é vital para reduzir a janela de exposição de sistemas NAS que alojam dados sensíveis de utilizadores e empresas.
Segundo Stanley Huang, Diretor Sénior da Equipa de Resposta a Incidentes, a colaboração estreita com a comunidade é o que permite reforçar a maturidade de segurança da organização. O programa incentiva a Divulgação Coordenada de Vulnerabilidades (CVD), assegurando que os problemas sejam corrigidos antes de qualquer exploração maliciosa.
| Indicador de Desempenho (2025) | Dados Consolidados |
| Relatórios de Vulnerabilidade Recebidos | 224 |
| Investigadores Externos Participantes | 151 |
| Total de Recompensas Atribuídas | $88.000$ USD |
| Prazo de Correção (Críticas/Importantes) | < 7 dias |
Resiliência comprovada em cenários reais de ataque
A participação ativa em competições como o Pwn2Own permitiu à QNAP validar as defesas do sistema operativo QuTS hero perante vetores de ataque de alta intensidade. A empresa está a utilizar equipas de testes de penetração (Red Teams) para simular cadeias de ataque completas e identificar pontos fracos estruturais. Estes testes profissionais complementam o programa de recompensas, oferecendo uma camada adicional de validação técnica.
Governação e modernização do ciclo de desenvolvimento
A integração de revisão de código assistida por IA está a aumentar a eficácia na deteção de falhas humanas durante as fases iniciais de programação. A QNAP implementou também uma Bill of Materials de software (SBOM) para assegurar total transparência sobre os componentes utilizados em cada aplicação. Estas medidas garantem que as vulnerabilidades na cadeia de fornecimento sejam identificadas e geridas com maior precisão.
A automação de segurança nos fluxos de trabalho de CI/CD permite que a deteção de falhas ocorra durante os testes de QA/QC, antes do lançamento comercial. Este modelo de “segurança por desenho” (security by design) reduz a necessidade de correções posteriores e aumenta a confiança dos administradores de sistemas.
Conclusão: a segurança como pilar da confiança operacional
A maturidade demonstrada pela QNAP em 2025 indica que a cibersegurança deixou de ser um elemento isolado para se tornar o núcleo da marca. A aposta na transparência e no pagamento de recompensas atrai talento global para a defesa das infraestruturas de armazenamento. O desafio contínuo passará pela manutenção destes prazos de resposta à medida que as técnicas de intrusão automatizada se tornam mais frequentes.
Para obter mais informações sobre o QNAP Bounty Program e iniciativas de segurança de produtos, visite: https://www.qnap.com/pt-pt/security-bounty-program
Outros artigos interessantes:
