Návrh produktů vychází z jasně definovaných požadavků na zabezpečení a ochranu soukromí a pomocí podrobného modelování hrozeb stanovuje priority rizik a datových zdrojů, včetně důkladného mapování datových cest pro účely kontroly a analýzy. Poté probíhá důkladná kontrola architektury komponent, která umožňuje vytvořit robustní a výkonné návrhy vyžadující minimální úroveň údržby a zajišťující dlouhodobou hodnotu.
Vývojáři postupují podle standardů společnosti Synology a pomocí bezpečného kódování vytvářejí softwarové komponenty odpovídající modelům zabezpečení, pro které jsou navrženy. Probíhá předběžné ověřování importovaných modulů typu open source a systémy nástrojů používané vývojáři společnosti Synology se průběžně aktualizují na nejnovější verze. V průběhu implementace se na interních verzích softwaru provádí statické testování zabezpečení aplikace (SAST), které zajišťuje, že dokončený kód vývojářů neobsahuje běžné chyby zabezpečení. Jakmile jsou připraveny verze Release Candidate, provede se dynamické testování zabezpečení aplikace (DAST), aby pomohlo ověřit, jestli je kód připraven pro produkční prostředí. Provádí se také automatizované skenování zranitelností a v rámci standardního postupu závěrečného ověření provádí společnost Synology testování průniku do aplikace.
Dokončené produkty se distribuují ve fázích, čímž se snižuje riziko objevení zranitelnosti nultého dne krátce po uvedení. Aby se zabezpečení dále posílilo, podepisuje společnost Synology všechny balíčky a aktualizace systému DiskStation Manager pomocí šifrovacích klíčů zabezpečených hardwarovými moduly zabezpečení.
Tým Synology Product Security Incident Response Team (PSIRT) proaktivně spravuje příjem, vyšetřování, koordinaci a nahlašování informací o zranitelnostech produktů. Tým PSIRT reaguje na informace o zranitelnostech nultého dne do 24 hodin a upozornění na zranitelnosti publikuje prostřednictvím nástroje Security Advisor pro produkty Synology.
Za koordinaci a implementaci reakcí na problémy se zabezpečením produktů je plně zodpovědný tým PSIRT společnosti Synology. Pomocí komplexního čtyřbodového postupu dokáže tým PSIRT zajistit včasnou komunikaci, nápravu, rychlost a transparentnost u všech účastníků tohoto procesu.
Společnost Synology se snaží provádět komplexní nápravu rychlostí patřící mezi nejvyšší ve svém oboru. V případě zranitelnosti nultého dne provádíme počáteční vyhodnocení závažnosti v průběhu prvních 8 hodin s cílem vydat opravu v průběhu následujících 15 hodin.
Společnost Synology má autorizaci CVE Numbering Authority od společnosti MITRE a proto dokáže s jinými výzkumníky v oblasti zabezpečení bezpečně spolupracovat na objevování a opravách dříve neznámých narušení zabezpečení a zároveň zajišťovat transparentnost a důvěryhodnost pro všechny účastníky procesu.
Za účelem zvyšování bezpečnosti svých produktů společnost Synology úzce spolupracuje s komunitou zabývající se zabezpečením informací. Prostřednictvím našeho programu odměn za nalezení chyb v zabezpečení, z pozice dlouhodobého sponzora soutěže Pwn2Own a prostřednictvím dalších aktivit odměňujeme úsilí spolupracujících odborníků na zabezpečení.
Nahlaste chyby v zabezpečení nebo odešlete dotazy související se zabezpečením.
