Synology ведет спецификацию программного обеспечения (Software Bill of Materials, SBOM) для каждого продукта в рамках более широкой стратегии управления рисками цепочки поставок программного обеспечения (Software Supply Chain Risk Management, SSCRM). Спецификации SBOM продукта учитывают все компоненты с открытым исходным кодом и компоненты собственной разработки, что позволяет проводить комплексный анализ лицензий и улучшать соответствие требованиям для отраслей, в которых конфиденциальность данных очень важна. Компания Synology использует автоматизированный процесс для управления спецификациями SBOM, обеспечивая точность и актуальность информации. SBOM предоставляются соответствующим заинтересованным сторонам и клиентам по мере необходимости. Спецификации SBOM продуктов Synology позволяют быстро оценивать риски уязвимостей и реагировать на них при обнаружении. Это стало возможным благодаря интеграции с базой данных MITRE CVE и каталогом CISA KEV США.
Стратегия управления рисками цепочки поставок программного обеспечения (Software Supply Chain Risk Management, SSCRM) компании Synology использует анализ состава программного обеспечения (Software Composition Analysis, SCA) в качестве критически важного шага при разработке каждого продукта. SCA помогает предотвратить внедрение вредоносного или небезопасного кода в выпуски продуктов, а также обеспечивает соответствие лицензии Synology и партнерам по нисходящей цепочке. Благодаря SCA компания Synology может выявлять и снижать риски на ранних этапах разработки. SCA также предоставляет ценную информацию об относительном качестве базы кода для любого конкретного компонента, что позволяет улучшить управление поставщиками за счет более интеллектуального внедрения компонентов.
Партнеры Synology по восходящей цепочке поставок помогают предоставлять нашим клиентам превосходные продукты и службы. Именно поэтому Synology считает важным сотрудничать с поставщиками и работать с ними над внедрением стандартов проектирования, ориентированных на безопасность, разработкой и поддержанием прозрачности, а также активным улучшением возможности и скорости реагирования. Synology определяет высококачественных партнеров по цепочке поставок, стремясь к длительному деловому партнерству в качестве долгосрочной стратегии.
Общими усилиями группы внутренней инфраструктуры и реагирования Synology повышают отказоустойчивость организации, снижают риски киберугроз и реагируют на них. Благодаря защите конечных точек, доступу с нулевым доверием и централизованному управлению обновлениями безопасности сотрудники Synology работают в упреждающем режиме для защиты инфраструктуры и ресурсов. Группа инфраструктуры Synology также отслеживает сетевой трафик, снижая риск киберугроз, и все команды службы безопасности Synology участвуют в разработке текущих рекомендаций по обеспечению безопасности для всей компании.
Разработчики продуктов следуют внутренним стандартам компании Synology по безопасному кодированию. Все коды проходят проверку, а архитекторы проекта дают одобрение для каждого отправленного компонента. Подпись кода используется на соответствующих этапах разработки, что позволяет снизить риск возникновения потенциальных угроз. Важно отметить, что Synology также следует стандартным практикам жизненного цикла безопасной разработки (Secure Development Lifecycle, SDLC) для каждого продукта, обеспечивая качество, безопасность и удобство обслуживания в каждом выпуске.
Сообщите об ошибках системы безопасности или задайте вопросы, связанные с безопасностью.
