Synology 보안 개발 수명 주기
사이버 보안이 위협 받는 요즘의 환경에서는 제품 수명 주기의 모든 단계에서 보안 및 개인 정보 보호를 적극적으로 고려해야 합니다. 제품의 계획 및 개발에서 출시, 지원에 이르기까지 Synology가 보안 및 최종 사용자 개인 정보 보호를 모든 제품에 어떻게 통합하고 있는지 알아보십시오.
개발 파이프라인 확보
계획 및 설계
제품은 잘 정의된 보안 및 개인 정보 보호 요구 사항에 따라 설계되며, 위험과 자산의 우선 순위를 정하는 상세 위협 모델링과 검토 및 분석을 위해 신중하게 매핑된 데이터 경로를 사용합니다. 그런 다음 구성 요소 아키텍처를 주의 깊게 검토하여 최소한의 유지보수에 장기적인 가치를 제공하는 견고하고 뛰어난 성능의 설계를 구현할 수 있습니다.
구현 및 검증
개발자는 설계한 보안 모델에 따라 소프트웨어 구성 요소를 생성하기 위해 Synology의 보안 코딩 표준을 따릅니다. 외부에서 가져온 오픈 소스 모듈은 사전 검증되며, Synology 개발자가 사용하는 도구 체인은 최신 보안 업데이트로 계속 패치됩니다. 구현되는 동안 내부 소프트웨어 빌드에 대한 SAST(Static Application Security Testing)가 진행되어 개발자가 완료한 코드에 흔히 나타나는 보안 결함이 발생되지 않도록 보장합니다. 릴리스 후보 버전이 준비되면 DAST(Dynamic Application Security Testing)를 통해 코드가 프로덕션 환경에 적합한지 확인합니다. 취약성 자동 스캔도 구현됩니다. Synology는 최종 검증을 위한 표준 방법으로 침투 테스트를 수행합니다.
릴리스
완성된 제품은 단계별 릴리스 후에 배포되므로 출시 직후 제로데이 익스플로잇이 발견될 위험을 완화합니다. Synology는 추가 보안 조치로서 하드웨어 보안 모듈로 보호된 암호화 키를 사용하여 모든 DiskStation Manager 패키지 및 업데이트에 서명합니다.
응답
Synology 제품 보안 사고 대응팀(PSIRT)은 제품과 관련된 취약 정보의 수신, 조사, 조정 및 보고를 적극적으로 관리합니다. PSIRT는 제로데이 익스플로잇에 대응하기 위해 24시간 미만의 응답 시간을 유지하고 Synology 제품 보안 어드바이저를 통해 취약성 경고를 게시합니다.
보안에 대한 Synology의 지속적인 노력
전담 보안팀
PSIRT는 Synology에서 제품 보안에 대한 대응과 협력에 전적인 책임을 집니다. 포괄적인 4단계 프로세스를 통해 PSIRT는 모든 관계자와의 원활한 소통, 문제 해결, 신속함 및 투명성을 보장합니다.
보안 사고 신속 대응
Synology는 업계 최고 수준의 신속함으로 문제를 포괄적으로 해결하기 위해 최선을 다하고 있습니다. 제로데이 익스플로잇의 경우 발견 직후 첫 8시간 이내에 초기 심각도를 평가하고, 이후 15시간 이내에 수정 사항을 릴리스하는 것이 목표입니다.
이해 관계자와의 투명성
MITRE CVE 번호 부여 기관인 Synology는 타사의 보안 연구원들과 안전하게 협력하여 이전에 알려지지 않은 보안 악용 사례를 발견하고 수정하는 동시에 이해 관계자와의 투명성과 신뢰를 유지할 수 있습니다.
정보 보안 커뮤니티 참여
Synology는 정보 보안 커뮤니티와 긴밀히 협력하여 제품의 안전성을 강화합니다. Synology의 보안 버그 바운티 프로그램, Pwn2Own에 대한 다년간의 스폰서 역할 또는 기타 보안에 대한 참여를 통해 Synology는 당사와 협력하는 성실한 보안 전문가분들의 노력을 자랑스럽게 여기며 이에 대한 보상을 제공합니다.
보안에 대한 Synology의 접근 방식에 대해 자세히 알아보기
시작하기
보안 버그를 보고하거나 보안 관련 질문을 제출합니다.