Synology houdt voor elk product een Software Bill of Materials (SBOM) bij als onderdeel van een bredere strategie voor risicobeheer in de softwaretoeleveringsketen (Software Supply Chain Risk Management ofwel SSCRM). SBOM’s van producten beschrijven alle open-source-componenten en bedrijfseigen componenten, wat een uitgebreide licentiebeoordeling en verbeterde naleving mogelijk maakt voor gevoelige sectoren. Synology gebruikt een geautomatiseerd proces om SBOM’s bij te houden, wat waarborgt dat informatie juist en up-to-date is, en SBOM’s worden zo nodig ter beschikking gesteld aan relevante belanghebbenden en klanten. Dankzij de SBOM’s van Synology-producten kunnen kwetsbaarheidsrisico’s snel worden beoordeeld en aangepakt wanneer kwetsbaarheden worden vastgesteld. Dit wordt mogelijk gemaakt door integratie met de MITRE CVE-database en de Amerikaanse CISA KEV-catalogus.
In het kader van zijn SSCRM-strategie maakt Synology gebruik van Software Composition Analysis (SCA) als cruciale stap in de ontwikkeling van elk product. SCA helpt om de aanwezigheid van schadelijke of onveilige code in productreleases te voorkomen en waarborgt de conformiteit met licenties voor Synology en stroomafwaartse partners. Met SCA kan Synology risico’s vroeg in de ontwikkelingsfase vaststellen en beperken. Daarnaast biedt SCA waardevolle inzichten in de relatieve kwaliteit van een codebase voor een gegeven component, wat een beter leveranciersbeheer en een slimmere verwerking van componenten mogelijk maakt.
De stroomopwaartse partners van Synology in de toeleveringsketen helpen ons uitstekende producten en diensten aan onze klanten te leveren. Daarom is Synology overtuigd van het belang van samenwerking met leveranciers om ‘security-first’-ontwerpstandaarden te implementeren, de transparantie te ontwikkelen en behouden en het reactievermogen en de reactiesnelheid proactief te verbeteren. Synology kiest toeleveringspartners die een hoge kwaliteit leveren en streeft naar langdurige en omvattende zakelijke partnerschappen als langetermijnstrategie voor de toeleveringsketen.
De interne infrastructuur- en responsteams van Synology zetten zich gezamenlijk in om de organisatorische veerkracht te verbeteren en cyberbedreigingen te beperken en aan te pakken. Via eindpuntbescherming, zero-trust-toegang en gecentraliseerd beheer van beveiligingsupdates werken de Synology-teams proactief aan het beschermen van de infrastructuur en bedrijfsmiddelen. Daarnaast monitort het infrastructuurteam van Synology het netwerkverkeer om het risico op cyberbedreigingen te verlagen en zijn alle beveiligingsteams van Synology betrokken bij het opstellen van beveiligingsrichtlijnen voor het hele bedrijf.
Ontwikkelaars houden zich bij het ontwikkelen van producten aan de interne Synology-standaarden voor veilig coderen. Alle code wordt beoordeeld en elke ingediende component wordt goedgekeurd door projectarchitecten. Op relevante ontwikkelingspunten wordt code-ondertekening toegepast om potentiële aanvalsvectoren te beperken. Ook belangrijk om te vermelden is dat Synology zich voor elk product houdt aan SDLC-praktijken (Secure Development Lifecycle ofwel veilige ontwikkelingslevenscyclus) om de kwaliteit, veiligheid en onderhoudbaarheid bij elke release te waarborgen.
Rapporteer veiligheidsproblemen of stel vragen over beveiliging.
