Il design dei prodotti segue requisiti di sicurezza e privacy ben definiti, con modelli di minacce particolareggiati per dare priorità a rischi e risorse e con i percorsi dei dati accuratamente mappati a fini di revisione e analisi. Le architetture dei componenti vengono quindi attentamente revisionate per aiutare a creare design robusti e performanti che richiederanno livelli di manutenzione minimi e offriranno valore sul lungo termine.
Gli sviluppatori seguono gli standard di Synology per la codifica di sicurezza, in modo da creare componenti software compatibili con i modelli di sicurezza progettati. I moduli open-source importati vengono sottoposti a verifiche preventive e le toolchain utilizzate dagli sviluppatori di Synology vengono aggiornate con le patch più recenti per la sicurezza. Lo Static Application Security Testing (SAST) viene eseguito sulle build software interne in fase di implementazione per assicurare che il codice completato dagli sviluppatori non contenga vulnerabilità comuni. Quando le versioni per il rilascio sono pronte, si utilizza il Dynamic Application Security Testing (DAST) per aiutare a confermare che il codice è pronto per gli ambienti di produzione. Viene utilizzata anche la scansione automatizzata delle vulnerabilità, e Synology segue dei test di penetrazione come metodo standard per la verifica finale.
I prodotti completati vengono distribuiti seguendo un rilascio in fasi, mitigando così il rischio qualora si riscontri un zero-day exploit poco dopo il lancio. Come misura di sicurezza supplementare, Synology firma tutti i pacchetti di DiskStation Manager e li aggiorna usando le chiavi di crittografia protette con moduli di sicurezza hardware.
Il Synology Product Security Incident Response Team (PSIRT) gestisce proattivamente le operazione di ricevimento, indagine, coordinamento e segnalazione delle informazioni sulle vulnerabilità correlate ai prodotti. Il PSIRT ha un tempo di risposta inferiore alle 24 ore per i zero-day exploit e notifica pubblicamente le vulnerabilità mediante le Segnalazioni sulla sicurezza dei prodotti Synology.
In Synology, il PSIRT si assume la totale responsabilità di coordinare e attuare le azioni di risposta per la sicurezza dei prodotti. Con un processo complessivo in quattro step, il PSIRT garantisce comunicazioni reattive, remediation, velocità e trasparenza per tutti i soggetti interessati.
Synology si impegna fornire soluzioni di remediation complete in tempi record per il settore. Per le vulnerabilità zero-day, la prima valutazione della gravità avviene entro le prime 8 ore, e il tempo massimo per rilasciare una soluzione sono le 15 ore successive.
In veste di MITRE CVE Numbering Authority, Synology è in grado di collaborare in sicurezza con ricercatori di terze parti per scoprire e risolvere vulnerabilità prima sconosciute, senza venir meno alla trasparenza né tradire la fiducia degli stakeholder.
Synology lavora a stretto contatto con la community della sicurezza informatica per potenziare la sicurezza dei prodotti. Sia tramite il Programma a premi Bug nella sicurezza, nel nostro ruolo pluriennale di sponsor di Pwn2Own, sia tramite altri sforzi in questo senso, ricompensiamo l'impegno degli esperti in sicurezza che ci hanno offerto la loro collaborazione.
Segnala un bug per la sicurezza o invia domande in tema di sicurezza.
