Producten worden ontworpen volgens nauwkeurig gedefinieerde beveiligings- en privacyvoorschriften. Risico’s en activa worden daarbij geprioriteerd aan de hand van gedetailleerde dreigingsmodellen, met gegevenspaden die zorgvuldig in kaart zijn gebracht voor beoordeling en analyse. Vervolgens worden de componentarchitecturen zorgvuldig beoordeeld om robuuste, krachtige ontwerpen te creëren die een minimum aan onderhoud vergen en langdurige waarde bieden.
Ontwikkelaars houden zich aan de Synology-normen voor veilig coderen om softwarecomponenten te creëren conform de beveiligingsmodellen die ze hebben ontworpen. Geïmporteerde open-source-modules worden vooraf gecontroleerd en de door Synology-ontwikkelaars gebruikte toolchains worden voortdurend gepatcht met de nieuwste beveiligingsupdates. Interne softwarebuilds worden tijdens de implementatie getest door middel van Static Application Security Testing (SAST) om te waarborgen dat de door ontwikkelaars gecreëerde code vrij is van veelvoorkomende tekortkomingen in de beveiliging. Wanneer release candidates klaar zijn, wordt Dynamic Application Security Testing (DAST) gebruikt om na te gaan of de code geschikt is voor productieomgevingen. Ook wordt een geautomatiseerde kwetsbaarheidsscan uitgevoerd en verricht Synology penetratietests als standaardmethode voor definitieve verificatie.
Voltooide producten worden gedistribueerd na een gefaseerde release. Dit beperkt het risico in het geval dat kort na de lancering een zero-day-aanval aan het licht komt. Als extra veiligheidsmaatregel ondertekent Synology alle DiskStation Manager-pakketten en -updates met behulp van encryptiesleutels, beveiligd met hardwarebeveiligingsmodules.
Het Product Security Incident Response Team (PSIRT) van Synology beheert proactief de ontvangst, het onderzoek en de coördinatie van en de rapportage over informatie betreffende kwetsbaarheden in producten. PSIRT houdt zich aan een responstijd van minder dan 24 uur voor het reageren op zero-day-aanvallen en publiceert waarschuwingen over kwetsbaarheden via het Synology Product Veiligheidsadvies.
Bij Synology is het PSIRT volledig verantwoordelijk voor het coördineren en uitvoeren van de productveiligheidsrespons. Met een uitgebreid proces van vier stappen zorgt het PSIRT voor responsieve communicatie, herstel, snelheid en transparantie richting alle belanghebbenden.
Synology streeft naar volledig herstel op een tempo dat toonaangevend is in de sector. Voor zero-day-aanvallen verrichten we onze eerste beoordeling van de ernst binnen de eerste 8 uur en streven we ernaar binnen de volgende 15 uur een fix uit te brengen.
Als MITRE CVE Numbering Authority is Synology in staat veilig samen te werken met externe veiligheidsonderzoekers voor het achterhalen en herstellen van voorheen onbekende beveiligingslekken, met behoud van transparantie en vertrouwen bij belanghebbenden.
Synology werkt nauw samen met de informatiebeveiligingsgemeenschap om de veiligheid van onze producten te verbeteren. Of het nu is via ons Security Bug Bounty-programma, onze rol als meerjarige sponsor van Pwn2Own of via andere activiteiten, wij belonen de moeite van toegewijde beveiligingsexperts die met ons samenwerken.
Rapporteer veiligheidsproblemen of stel vragen over beveiliging.
