A termékeket jól meghatározott biztonsági és adatvédelmi követelmények szerint tervezik meg, amelyhez részletes fenyegetésmodellezést alkalmaznak a kockázatok és eszközök rangsorolására, az adatutakat pedig gondosan feltérképezik az áttekintéshez és elemzéshez. A komponensarchitektúrák gondos felülvizsgálata segít a robusztus, nagy teljesítményű tervek kidolgozásában, amelyek minimális karbantartás mellett hosszú távú értéket kínálnak.
A fejlesztők a Synology biztonságos kódolásra vonatkozó szabványait követve hozzák létre a szoftverkomponenseket az általuk tervezett biztonsági modellek szerint. Az importált, nyílt forráskódú modulokat előre ellenőrzik, a Synology fejlesztői által használt eszközláncok pedig a legújabb biztonsági frissítésekkel vannak ellátva. A telepítés során a belső szoftvereken statikus alkalmazásbiztonsági teszteket (SAST) végeznek annak biztosítása érdekében, hogy a fejlesztők által kikészített kódban ne legyenek általános biztonsági hibák. Amikor a kiadásra jelölt verzió készen áll, a Dynamic Application Security Testing (DAST) segítségével megerősítik, hogy a kód éles környezetben is használható. A biztonsági rések automatikus keresésére is sor kerül, és a Synology a végleges ellenőrzés standard módszereként penetrációs vizsgálatot is végez.
A kész termékeket szakaszosan hozzák forgalomba, így csökkentve a kockázatot, ha röviddel a bevezetés után nulladik napi támadás érné a szoftvert. További biztonsági intézkedésként a Synology a DiskStation Manager összes csomagját és frissítését hardveres biztonsági modulokkal védett titkosítási kulcsokkal írja alá.
A Synology termékbiztonsági incidensreagálási csapat (PSIRT) proaktív módon kezeli a termékekkel kapcsolatos sebezhetőségi információk fogadását, kivizsgálását, koordinálását és jelentését. A PSIRT kevesebb mint 24 óra alatt reagál a nulladik napi biztonsági rések kihasználására, és a Synology termékbiztonsági tanácsadóján keresztül teszi közzé a biztonsági résekre vonatkozó figyelmeztetéseket.
A Synology PSIRT csapata teljes felelősséget vállal a termékbiztonsági válaszok koordinálásáért és kihirdetéséért. Egy átfogó, négylépéses folyamattal a PSIRT minden érdekelt fél számára biztosítja a gyors kommunikációt, a helyreállítási folyamatot, a sebességet és az átláthatóságot.
A Synology elkötelezett az átfogó helyreállítás mellett, amelyet az iparág vezetőjéhez méltó módon eszközölnek. A nulladik napi támadások esetében az első 8 órában elkészítünk egy kezdeti súlyossági felmérést, majd 15 órán belül ki kell dolgoznunk a javítást.
A MITRE CVE-számozási testület tagjaként a Synology biztonságosan együttműködhet harmadik fél biztonságkutatókkal, hogy együtt felfedezzék és kijavítsák az addig ismeretlen biztonsági réseket, így egyszerűen meg tudják őrizni az átláthatóságot és az érdekelt felek bizalmát.
A Synology szorosan együttműködik az információbiztonsági közösséggel termékeink biztonságának fokozása érdekében. Akár a Biztonsági rés jutalomprogramunkon (több éve vagyunk a Pwn2Own támogatója), akár más elköteleződési kezdeményezésünkön keresztül tehetjük, büszkék vagyunk arra, hogy megjutalmazzuk a velünk együttműködő, szorgalmas biztonsági szakértők erőfeszítéseit.
Jelentse a biztonsági hibákat, vagy küldjön biztonsággal kapcsolatos kérdéseket.
