Los productos se han diseñado siguiendo requisitos de seguridad y privacidad bien definidos, utilizando modelos detallados de amenazas para priorizar riesgos y activos, y con rutas de datos cuidadosamente asignadas para su revisión y análisis. Las arquitecturas de componentes se revisan cuidadosamente para ayudar a crear diseños robustos y de alto rendimiento que requerirán niveles mínimos de mantenimiento y ofrecerán valor a largo plazo.
Los desarrolladores siguen los estándares de Synology de codificación segura para crear componentes de software de acuerdo con los modelos de seguridad que han diseñado. Los módulos de código abierto importados se verifican previamente y las cadenas de herramientas que utilizan los desarrolladores de Synology se mantienen parcheadas con las últimas actualizaciones de seguridad. Las pruebas de seguridad de aplicaciones estáticas (SAST) se realizan en compilaciones de software internas durante la implementación para garantizar que el código completado de los desarrolladores evite fallos de seguridad comunes. Cuando los candidatos al lanzamiento están listos, se utiliza la prueba de seguridad de aplicaciones dinámicas (DAST) para ayudar a confirmar que el código está listo para los entornos de producción. También se emplea el escaneo automatizado de vulnerabilidades y Synology realiza pruebas de penetración como método estándar para la verificación final.
Los productos terminados se distribuyen después de un lanzamiento por etapas, lo que mitiga el riesgo en caso de que se descubra un exploit de día cero poco después del lanzamiento. Como medida de seguridad adicional, Synology firma todos los paquetes y actualizaciones de DiskStation Manager utilizando claves de cifrado protegidas con módulos de seguridad de hardware.
El equipo de Respuesta a Incidentes de Seguridad de Productos de Synology (PSIRT) gestiona de forma proactiva la recepción, investigación, coordinación y presentación de informes de la información sobre vulnerabilidades relacionada con los productos. PSIRT mantiene un tiempo de respuesta de menos de 24 horas para responder a exploits de día cero y publica alertas de vulnerabilidad a través de Asesoramiento de seguridad de los productos de Synology.
En Synology, PSIRT asume toda la responsabilidad de coordinar y promulgar respuestas de seguridad de productos. Con un proceso integral de cuatro pasos, PSIRT asegura una comunicación receptiva, remediación, velocidad y transparencia con todas las partes interesadas relevantes.
Synology está comprometido con la remediación integral entregada a un ritmo líder en el sector. Para exploits de día cero, hacemos nuestra evaluación de gravedad inicial dentro de las primeras 8 horas, con nuestro tiempo objetivo para lanzar una solución dentro de las 15 horas siguientes.
Como autoridad de asignación de CVE de MITRE, Synology puede trabajar de forma segura con investigadores de seguridad de terceros para descubrir y corregir vulnerabilidades de seguridad previamente desconocidas, manteniendo la transparencia y la confianza con las partes interesadas.
Synology trabaja en estrecha colaboración con la comunidad de seguridad de la información para mejorar la seguridad de nuestros productos. Ya sea a través de nuestro programa Programa de recompensas de bugs de seguridad, nuestro papel como patrocinador de varios años de Pwn2Own, o a través de nuestros otros esfuerzos de compromiso, recompensamos con orgullo los esfuerzos de expertos en seguridad diligentes que se asocian con nosotros.
Informe de errores de seguridad o envíe preguntas relacionadas con la seguridad.
