Produkterne er designet i henhold til veldefinerede krav til sikkerhed og beskyttelse af personlige oplysninger ved hjælp af detaljeret trusselsmodellering for at prioritere risici og aktiver og med datastier, der er nøje kortlagt med henblik på gennemgang og analyse. Komponentarkitekturer gennemgås derefter omhyggeligt for at hjælpe med at skabe robuste, højtydende design, der kræver minimal vedligeholdelse og giver langsigtet værdi.
Udviklere følger Synologys standarder for sikker kodning for at skabe softwarekomponenter i overensstemmelse med de sikkerhedsmodeller, de har designet. Importerede open source-moduler er forhåndsgodkendte, og de værktøjskæder, som Synologys udviklere bruger, bliver opdateret i henhold til de seneste sikkerhedsopdateringer. SAST (Static Application Security Testing) udføres på interne software-builds under implementeringen for at sikre, at udviklernes færdige kode ikke indeholder almindelige sikkerhedsfejl. Når frigivelseskandidaterne er klar, bruges DAST (Dynamic Application Security Testing) til at hjælpe med at bekræfte, at koden er klar til produktionsmiljøer. Automatisk scanning af sårbarheder anvendes også, og Synology udfører indtrængningstest som en standardmetode til endelig godkendelse.
Færdige produkter distribueres efter en trinvis frigivelse, hvilket mindsker risikoen i tilfælde af, at en zero-day-sårbarhed opdages kort efter lanceringen. Som en ekstra sikkerhedsforanstaltning signerer Synology alle DiskStation Manager-pakker og -opdateringer ved hjælp af krypteringsnøgler, der er sikret med hardwaresikkerhedsmoduler.
PSIRT (Synology Product Security Incident Response Team) håndterer proaktivt modtagelse, undersøgelse, koordinering og rapportering af oplysninger om sårbarheder i forbindelse med produkter. PSIRT opretholder en responstid på mindre end 24 timer til at reagere på zero-day-sårbarheder og udsender sårbarhedsadvarsler via Synology Product Security Advisory.
Hos Synology tager PSIRT fuldt ejerskab af koordinerende og dispositiv respons på produktsikkerhed. Med en omfattende firetrinsproces sikrer PSIRT hurtig kommunikation, afhjælpning, hastighed og gennemsigtighed hos alle relevante interessenter.
Synology har forpligtet sig til omfattende afhjælpning leveret i et brancheførende tempo. I forbindelse med zero-day-sårbarheder foretager vi vores første vurdering af alvorsgraden inden for de første 8 timer, og vores målsætning er at frigive en rettelse inden for de næste 15 timer.
Som MITRE CVE Numbering Authority er Synology i stand til at samarbejde sikkert med sikkerhedsforskere fra tredjeparter om at opdage og håndtere tidligere ukendte sikkerhedsangreb, samtidig med at den bevarer gennemsigtighed og tillid hos interessenter.
Synology arbejder tæt sammen med informationssikkerhedsfællesskabet for at gøre vores produkter mere sikre. Uanset om det er via vores Security Bug Bounty Program, vores rolle som flerårig sponsor for Pwn2Own eller gennem vores andre engagementer, belønner vi de bestræbelser, som sikkerhedseksperter, der samarbejder med os, udfører.
Rapportér sikkerhedsfejl, eller send sikkerhedsrelaterede spørgsmål.
