Produkty są projektowane zgodnie ze ściśle określonymi wymogami bezpieczeństwa i prywatności, z wykorzystaniem szczegółowego modelowania zagrożeń w celu priorytetyzacji ryzyk i zasobów, a ścieżki danych są starannie odwzorowane do celów przeglądu i analizy. Architektury komponentów są następnie dokładnie sprawdzane, aby pomóc w tworzeniu solidnych, wydajnych architektur, wymagających minimalnej konserwacji i oferujących długoterminową wartość.
Programiści przestrzegają standardów Synology dotyczących bezpiecznego kodowania, aby tworzyć komponenty oprogramowania zgodnie z zaprojektowanymi przez siebie modelami zabezpieczeń. Importowane moduły open source są wstępnie weryfikowane, a łańcuchy narzędzi używane przez programistów Synology są stale aktualizowane o najnowsze zabezpieczenia. Statyczny test bezpieczeństwa aplikacji (SAST) jest wykonywany na wewnętrznych kompilacjach oprogramowania podczas implementacji w celu zagwarantowania, że w końcowym kodzie programistów uniknięto typowych wad bezpieczeństwa. Gdy kandydaci do wydania są gotowi, Dynamiczny test bezpieczeństwa aplikacji (DAST) służy do potwierdzenia, że kod jest gotowy na środowiska produkcyjne. Stosowane jest również zautomatyzowane skanowanie podatności, a Synology przeprowadza testy penetracyjne jako standardowej metody weryfikacji końcowej.
Gotowe produkty są dystrybuowane w ramach kilkuetapowego procesu wprowadzania na rynek, co zmniejsza ryzyko w przypadku wykrycia luk typu zero-day exploit wkrótce po premierze produktu. Jako dodatkowy środek bezpieczeństwa Synology podpisuje wszystkie pakiety i aktualizacje programu DiskStation Manager przy użyciu kluczy szyfrowania zabezpieczonych sprzętowymi modułami bezpieczeństwa.
Zespół reagowania firmy Synology, Product Security Incident Response Team (PSIRT), aktywnie zarządza otrzymywaniem, badaniem, koordynacją i raportowaniem informacji o lukach w zabezpieczeniach związanych z produktami. PSIRT utrzymuje czas reakcji na ataki krótszy niż 24 godziny w przypadku luk typu zero-day-exploit i publikuje alerty o lukach w zabezpieczeniach za pośrednictwem Doradcy ds. zabezpieczeń produktów Synology.
W firmie Synology zespół PSIRT przejmuje pełną odpowiedzialność za koordynację i wdrażanie reakcji na zagrożenie bezpieczeństwa produktów. Dzięki kompleksowemu czteroetapowemu procesowi zespół PSIRT zapewnia szybką komunikację, naprawę, szybkość i przejrzystość dla wszystkich zainteresowanych stron.
Firma Synology dąży do zapewniania kompleksowych działań naprawczych w najszybszym w branży tempie. W przypadku luk typu zero-day-exploit przeprowadzamy wstępną ocenę ważności w ciągu pierwszych 8 godzin, z naszym docelowym czasem wydania poprawki w ciągu następnych 15 godzin.
Jako MITRE CVE Numbering Authority, Synology jest w stanie bezpiecznie współpracować z zewnętrznymi badaczami bezpieczeństwa w celu wykrywania i naprawiania nieznanych wcześniej luk bezpieczeństwa przy zachowaniu przejrzystości i zaufania zainteresowanych stron.
Synology ściśle współpracuje ze społecznością bezpieczeństwa informacji, aby zwiększyć bezpieczeństwo naszych produktów. Czy to w ramach naszego programu Security Bug Bounty, czy jako wieloletni sponsor Pwn2Own, czy też poprzez nasze inne wysiłki, z dumą nagradzamy wysiłki sumiennych ekspertów bezpieczeństwa, którzy z nami współpracują.
Zgłaszaj błędy bezpieczeństwa lub zadawaj pytania związane z bezpieczeństwem.
