Produkte werden gemäß klar definierten Sicherheits- und Datenschutzanforderungen entwickelt. Dabei wird eine detaillierte Bedrohungsmodellierung verwendet, um Risiken und Vermögenswerte zu priorisieren. Die Datenwege werden sorgfältig kartiert, um eine Überprüfung und Analyse zu ermöglichen. Die Architekturen der Komponenten werden anschließend gründlich geprüft, um robuste, leistungsstarke Designs zu erstellen, die minimale Wartung erfordern und langfristigen Mehrwert bieten.
Entwickler folgen den Sicherheitsstandards von Synology für sicheres Programmieren, um Softwarekomponenten gemäß den von ihnen entworfenen Sicherheitsmodellen zu erstellen. Importierte Open-Source-Module werden im Voraus überprüft, und die von den Entwicklern von Synology verwendeten Toolchains werden mit den neuesten Sicherheitsupdates gepflegt. Während der Implementierung wird eine statische Anwendungssicherheitsprüfung (Static Application Security Testing, SAST) für interne Software-Builds durchgeführt, um sicherzustellen, dass der von den Entwicklern erstellte Code gängige Sicherheitsmängel vermeidet. Wenn Release-Kandidaten bereit sind, wird eine dynamische Anwendungssicherheitsprüfung (Dynamic Application Security Testing, DAST) verwendet, um zu bestätigen, dass der Code für Produktionsumgebungen bereit ist. Darüber hinaus werden automatisierte Scans auf Schwachstellen angewendet, und Synology führt Penetrationstests als Standardmethode zur abschließenden Überprüfung durch.
Fertige Produkte werden gestaffelt veröffentlicht, um das Risiko zu verringern, falls kurz nach der Veröffentlichung ein Zero-Day-Exploit entdeckt wird. Als zusätzliche Sicherheitsmaßnahme signiert Synology sämtliche DiskStation Manager-Pakete und Updates mit Verschlüsselungsschlüsseln, die durch Hardware-Sicherheitsmodulen geschützt sind.
Das Synology Product Security Incident Response Team (PSIRT) verwaltet proaktiv den Empfang, die Untersuchung, Koordination und Berichterstattung von Informationen zu Sicherheitslücken in Bezug auf Produkte. Das PSIRT reagiert in weniger als 24 Stunden auf Zero-Day-Exploits und veröffentlicht Sicherheitswarnungen über die Synology Produkt-Sicherheitsanweisungen.
Bei Synology übernimmt das PSIRT die vollständige Verantwortung für die Koordinierung und Umsetzung von Sicherheitsmaßnahmen für Produkte. Mit einem umfassenden Vier-Schritte-Prozess gewährleistet das PSIRT eine reaktionsschnelle Kommunikation, Maßnahmen zur Fehlerbehebung, Geschwindigkeit und Transparenz gegenüber allen relevanten Interessengruppen.
Synology verpflichtet sich zu umfassenden Maßnahmen zur Fehlerbehebung, die in einem branchenführenden Tempo erfolgen. Bei Zero-Day-Exploits erfolgt unsere erste Einschätzung der Schwere innerhalb der ersten 8 Stunden. Dabei ist es unser Ziel, eine Lösung innerhalb der nächsten 15 Stunden zu veröffentlichen.
Als MITRE CVE Numbering Authority kann Synology sicher mit externen Sicherheitsforschern zusammenarbeiten, um bisher unbekannte Sicherheitslücken zu erkennen und zu beheben und gleichzeitig Transparenz und Vertrauen der Stakeholder zu wahren.
Synology arbeitet eng mit der Informationssicherheits-Community zusammen, um die Sicherheit der Produkte zu erhöhen. Ob durch unser Security Bug Bounty Program, unsere Rolle als mehrjähriger Sponsor von Pwn2Own oder durch unser weiteres Engagement belohnen wir die Bemühungen der Sicherheitsexperten, die mit uns zusammenarbeiten.
Melden Sie Sicherheitsprobleme oder stellen Sie Fragen rund um die Sicherheit.
