從過去四年Bug Bounty Program，Synology 學到了什麼？

隨著企業資安意識抬頭，近年Bug Bounty Program 依舊是產業熱烈討論的議題，許多科技公司例如蘋果、Google、微軟、LINE 等大廠都透過這項計畫與白帽駭 ... HanEnLin 2021-03-16 CompanyTechnologySecurity 隨著企業資安意識抬頭，近年BugBountyProgram依舊是產業熱烈討論的議題，許多科技公司例如蘋果、Google、微軟、LINE等大廠都透過這項計畫與白帽駭客合作，給予適當的獎勵與回饋，挖掘企業可能忽略的漏洞，藉此持續精進產品或系統的安全性。

Synology在2016年成立產品安全事件應變團隊（PSIRT），也自2017年起推出安全性弱點獎金計畫，截至目前，已經與超過200名資安研究員與單位合作，總計發出的獎金超過25萬美金。

「開放心態」以及「永續經營思維」，這兩個關鍵詞，可以簡單的總結Synology這四年經營資安團隊與計畫的心得。

而企業內部若計畫導入BugBountyProgram，普遍會遇到什麼困境？有什麼迷思值得破解？企業又應該抱持著什麼樣的心態去經營這樣的計畫呢？ 破除迷思，是建立體制的第一步 「被找到的軟體弱點或是Bug（軟體臭蟲）越多，代表你的系統越不安全？」軟體弱點，或是更廣義的「Bug」，在一般消費者的印象裡，是較偏向負面的代名詞，仍有許多人會誤解發現Bug這件事背後所代表的意義，也讓部分企業因而卻步：找出越多Bug，會不會給人外界一個系統不安全的印象？ 事實上，沒看到問題，不代表問題不存在。

而正視問題，是解決問題的第一步。

凡是軟體就會有Bug，我們應該正常去看待這件事。

以軟體工程面來說，越複雜的系統就會有越多的Bug，今天一旦系統的規模不斷成長，出現Bug也是必然。

企業除了持續透過內部研發、產品測試（QA/QC）、產品安全等部門找Bug、解Bug外，透過與外部資安研究人員的合作，建立回報問題的管道，也能協助企業盡早發現問題，在內部啟動修復機制，在產品正式上線、或是第三方平臺發布漏洞前掌握先機，完成修補，打造一套歷久彌新的系統。

這也得回頭談論到企業以及一般消費者對於「駭客」的既定思維。

「我能信任外部的人嗎？」過去傳統企業對於駭客的既定印象多半偏負面，因此提到與駭客合作會先產生排斥的態度，「我為什麼要跟別人合作？我要如何確認外部的人是不是具有惡意？」這樣的迷思仍相當常見。

事實上，「駭客」不只有惡意駭客，有絕大多數的駭客是白帽駭客，或者進一步理解成資安研究人員。

不是所有的駭客都只想要搞破壞，或者只想要把漏洞轉換成錢（因為若是如此，那麼駭客將企業漏洞轉賣到黑市或是暗網，獲得的報酬其實都遠多於參與漏洞計畫。

）許多白帽駭客將尋找漏洞視為技術力的展現方式，甚至他們本身就是企業產品的使用者，並期待能協助讓企業產品變得更好。

因此，企業若有心耕耘資安，要如何轉換成開放的心態，也是相當困難的一件事，除了建立開放與健全的心態外，也無法迴避的要持續進行市場教育，並持續在內部建立完整的應變與修補流程。

謹慎打造信任的基礎 若企業內部有了共識，那麼下一步呢？以Synology自己的經驗而言，初期我們花了相當多的時間在擬定計畫整體架構。

包括如何建立問題的回報、獎金發放流程，以及漏洞的買斷機制等細節。

其中，最值得強調的是，企業必須十分謹慎地規劃漏洞的揭露政策（DisclosurePolicy）。

我們觀察到，目前產業中部分執行BugBountyProgram的企業會忽略的一大問題，正是看似順利推出了計畫，卻沒有在初期就擬定好相對應的漏洞揭露政策，導致後續問題不斷。

例如，研究者發現了問題，企業卻無法在時間內修補完全，或是還未修補到足夠完整安全的版本就被揭露；甚至是修補了問題，卻沒有建立讓客戶確實接收到更新的機制。

回到BugBountyProgram的核心目標，是要保護客戶，為客戶把關產品安全。

因此從發現漏洞，修補漏洞，再到建立讓客戶及時接收到安全性建議的暢通管道，企業都得嚴肅看待。

此外，企業也得積極觀察產業動態，以確保資安情報暢通。

以Synology為例，就透過與CNA、FIRST等國際資安組織接軌，即時監看資安社群揭露的弱點，例如新的CVE、來自其他廠商與第三方平臺的安全性訊息，以及國際資安新聞監測等，藉此蒐集所有跟Synology產品相關的情報，一旦發生資安事件，便能立即進行危機處理。

永續經營的心態 我們也觀察到，不少企業會選擇透過參與或推出短期的BugBounty競賽，來獲取立即的回饋，這或許是一個好的嘗試，但「速成」、「立即見效」的概念並不適用於打造一個穩定的企業資安架構。

企業如果希望有意識且更具系統性的維護產品或系統安全，最好的方式還是在投入資源之初就擬定中長期計畫，確定是否建立專職的人或是團隊，以及要如何與外部資安社群協作等具體計畫。

Synology從零開始，建立起專職的資安團隊，並順利推動BugBountyProgram，與資安社群培養長期的關係，也協助我們練習從駭客的角度去了解問題、突破盲點。

事實上，Synology希望秉持的是資安永續經營概念。

例如，在軟體開發的設計上，以安全為優先去設計產品，導入SecuritybyDesign和SecuritybyDefault的概念，從最初的產品設計環節即落實資安控管；透過長期經營BugBountyProgram，改善的問題層級也從個別的產品功能到更為宏觀的系統性架構，這讓我們無論是在產品或組織，都調整到可以長期維運的機制。

除了建立起制度外，在Synology經營BugBountyProgram這四年，我們合作的對象也從個人研究員，一步步進展到大型資安研究單位，隨著近兩年有越來越多較具規模的資安組織或資安競賽，例如Talos、Qihoo、Devcore、pwn2own等，都將Synology列入專門的研究個案後，這意味著我們也得接受更高標準的檢驗，更積極的推動內部在時限內做到安全把關，持續不斷自我成長。

從我們的經驗，我們相當建議企業對於資安意識要有正確的了解，以及長期投資、經營的思維。

這世界上沒有百分之百安全的產品或系統，但對於資安的所有投資，都會協助企業做到最完整的風險控管與把關。

閱讀更多文章 千萬行Code的挑戰：Synology如何掌握軟體品質？ 對於一家以軟體研發作為核心競爭優勢的公司來說，除了工程技術的持續推進之外，要如何在一個軟體開發專案流程中，增加開發效率並且確保軟體品質，可以說是相當關鍵的挑戰。

SynologyNAS的核心作業系統DiskStationManager（DSM），就是個億級程式碼規模的大型軟體開發專案。

以最近的兩個DSM版本，DSM6.2.4與DSM7.0更新來看，兩版之間的程式碼有近千萬行 2021-05-6 CompanyTechnologySynologyNAS 以Synology應變Zerologon經驗為例，看企業應如何應對資安事件 依據NIST網路安全框架，企業可以依循「辨識」、「保護」、「偵測」、「回應」、「復原」這五大步驟，建立資安架構。

但資安事件總是突如其來，每次事件的起源、過程、解決方式與涉及的人事物皆不同，除了事前做好預防措施外，更考驗著企業當下的應變能力。

Synology自2016年成立的安全團隊SIRT（SecurityIncidentResponseTeam，最初是從PSIRT，Pro 2020-10-15 CompanyTechnologySecurity Synology「白板考」解密：考官如何用一面白板，看出你的工作性格 面試者帶著忐忑的心情，走進位於遠東通訊園區的Synology群暉科技，經過基本的學經歷面談後，隨即會被帶進一間配備有白板的會議室。

過一會兒，就是面試官走了進來：「那我們現在來寫點code吧！」小明爬階梯每一步可以跨一階或兩階。

請幫我設計一支程式計算從平地爬上一個N階的階梯有幾種可能的步法。

以三階的階梯為例，共有「1階1階1階；1階2階；2階1階」三種步法。

2020-07-27 Company Synology如何透過AI自動化系統節省5萬封客服信件量？ 對於擁有對外銷售產品的企業品牌而言，除了要不斷精進自家產品以符合客戶所需之外，最大的挑戰之一，莫過於如何即時回應並排解客戶遇到的問題，提供最好的使用體驗。

群暉科技（Synology）主要的產品是NAS（網路附加儲存設備），目前在全球中小企業與家用NAS市場中，市占率都是第一名。

我們在全球已經累積銷售超過700萬台裝置，自有NAS作業系統DiskStationManager(DS 2020-07-27 Company 後疫情時代備份趨勢──免授權備份如何助攻企業營運發展？ 疫情期間全球資安威脅急遽增加，根據趨勢科技調查分析，預期2022年將有更多惡意攻擊會鎖定中小企業，因為這些組織往往因資源限制，難以施作完整的資安預防或備份保護策略，相對更容易攻破。

因應持續且多變的惡意攻擊，並不存在完美的預防方案，唯有「預防，勝於治療」才是唯一真理，除了教育訓練、強化資安架構等防範措施，更得為關鍵服務資料實作完整的備份，始能確保遇到意外時，在最短時間內回復正常運作。

自20 2022-03-24 OthersActiveBackupHyperBackupSnapshotReplication 運達航運選用SynologyC2完善備份3-2-1架構，每年省下近20%支出 「因為COVID-19疫情推升貨運產業需求，我們需要於短時間內實作異地備份，確保完整保護大量成長的重要營運資料。

」運達航運資訊部門系統工程師王士駿表示，運達航運多年使用SynologyNAS，服務十分穩定可靠，內建免授權備份功能完整、易用，因此也決定採用SynologyC2雲端備份服務，完善異地備份機制。

運達航運是一間歷史悠久的亞洲區貨櫃運送經營企業，自1967年成立以來，致力 2022-03-24 Industry