Les produits sont conçus selon des exigences bien définies en matière de sécurité et de confidentialité, en utilisant une modélisation détaillée des menaces pour hiérarchiser les risques et les ressources, et avec des chemins de données soigneusement mappés pour en faciliter l'analyse. L'architecture des composants est ensuite soigneusement examinée pour créer des conceptions solides et performantes qui nécessitent un minimum de maintenance et offrent une valeur durable.
Les développeurs suivent les normes de Synology en matière de codage sécurisé pour créer des composants logiciels conformes aux modèles de sécurité qu'ils ont conçus. Les modules Open Source importés sont préalablement vérifiés et les chaînes d'outils utilisées par les développeurs Synology sont corrigées avec les dernières mises à jour de sécurité. Les tests de sécurité des applications statiques (SAST) sont effectués sur les versions logicielles internes pendant la mise en œuvre afin de s'assurer que le code écrit par les développeurs ne comporte aucune faille de sécurité courante. Lorsque les versions Release Candidate sont prêtes, les tests dynamiques de sécurité des applications (DAST) sont exécutés pour confirmer que le code est prêt pour les environnements de production. Une analyse automatisée des vulnérabilités est également utilisée, et Synology effectue des tests d'intrusion comme méthode standard pour la vérification finale.
Les produits finaux sont distribués suite à une publication échelonnée, ce qui réduit les risques au cas où une vulnérabilité zero-day serait découverte peu de temps après le lancement. Par mesure de sécurité supplémentaire, Synology signe tous les paquets et mises à jour DiskStation Manager à l'aide de clés de chiffrement sécurisées par des modules de sécurité matériels.
L'équipe de réponse aux incidents de sécurité des produits (PSIRT) de Synology gère de manière proactive la réception, l'enquête, la coordination et le signalement des informations de vulnérabilité liées aux produits. L'équipe PSIRT garantit un délai de réponse inférieur à 24 heures pour résoudre les failles zero-day et publie des alertes de vulnérabilité via les Conseils de sécurité sur les produits Synology.
Chez Synology, l'équipe PSIRT est entièrement responsable de la coordination et de l'application des mesures de réponse aux incidents de sécurité des produits. Grâce à un processus complet en quatre étapes, l'équipe PSIRT assure une communication réactive, une résolution efficace, une rapidité et une transparence auprès de toutes les parties prenantes concernées.
Synology s'engage à fournir des mesures correctives complètes à un rythme inégalé dans le secteur. Concernant les vulnérabilités zero-day, nous procédons à une évaluation initiale de la gravité des failles dans les 8 premières heures, et avons pour objectif de publier un correctif dans les 15 heures qui suivent.
Synology dispose du statut d'autorité de numérotation CVE décerné par MITRE. L'entreprise est donc en mesure de travailler avec des chercheurs en sécurité tiers pour détecter et corriger des failles de sécurité jusqu'alors inconnues, tout en maintenant un niveau élevé de transparence et de confiance avec toutes les parties prenantes.
Synology travaille en étroite collaboration avec la communauté de sécurité de l'information afin d'optimiser la sécurité de ses produits. Que ce soit par le biais de notre Programme de primes de sécurité, de notre rôle de sponsor pour le concours Pwn2Own depuis plusieurs années, ou par le biais de nos autres initiatives, nous sommes fiers de récompenser les efforts des experts assidus qui collaborent avec nous sur les questions de sécurité.
Signalez les bugs de sécurité ou soumettez des questions liées à la sécurité.
