Продукты разрабатываются в соответствии с четко определенными требованиями к безопасности и конфиденциальности, с использованием детального моделирования угроз для определения приоритетов рисков и ресурсов, а также с тщательно прописанными путями данных для просмотра и анализа. Затем архитектуры компонентов тщательно анализируются, чтобы помочь создать надежные и производительные конструкции, которые потребуют минимального уровня обслуживания и будут иметь долгосрочную ценность.
Разработчики следуют стандартам компании Synology по безопасному программированию для создания программных компонентов в соответствии с моделями безопасности, которые они разработали. Импортированные модули с открытым исходным кодом предварительно проверяются, а в наборы инструментов, которые используют разработчики Synology, постоянно устанавливают последние обновления безопасности. Статическое тестирование безопасности приложений (Static Application Security Testing, SAST) выполняется на внутренних сборках программного обеспечения во время внедрения, чтобы гарантировать, что готовый код разработчиков не содержит распространенных уязвимостей в системе безопасности. Когда кандидаты на выпуск готовы, используется динамическое тестирование безопасности приложений (Dynamic Application Security Testing, DAST), чтобы подтвердить, что код готов к использованию в производственных средах. Также используется автоматическое сканирование уязвимостей, и Synology проводит тестирование на проникновение в качестве стандартного метода окончательной проверки.
Завершенные продукты распространяются после поэтапного выпуска, что снижает риск в случае обнаружения эксплойта нулевого дня вскоре после запуска. В качестве дополнительной меры безопасности Synology подписывает все пакеты и обновления DiskStation Manager с помощью ключей шифрования, защищенных аппаратными модулями безопасности.
Группа реагирования на инциденты безопасности продуктов Synology (Synology Product Security Incident Response Team, PSIRT) активно управляет получением, расследованием, координацией и отчетностью информации об уязвимостях, связанных с продуктами. PSIRT поддерживает время отклика менее 24 часов для реагирования на эксплойты нулевого дня и публикует предупреждения об уязвимостях на странице Инструкция по безопасности продуктов Synology.
В Synology PSIRT берет на себя полную ответственность за координацию и реализацию мер по обеспечению безопасности продуктов. Благодаря комплексному четырехэтапному процессу PSIRT обеспечивает оперативное взаимодействие, исправление, скорость и прозрачность со всеми заинтересованными сторонами.
Synology стремится обеспечить комплексное устранение неполадок так быстро, как это только возможно. Для эксплойтов нулевого дня мы проводим первоначальную оценку серьезности в течение первых 8 часов, а целевое время для выпуска исправления — в течение следующих 15 часов.
Synology входит в число компаний, занимающихся ведением базы данных общеизвестных уязвимостей MITRE CVE. Поэтому наша компания может безопасно сотрудничать со сторонними специалистами по безопасности, чтобы обнаруживать и устранять ранее неизвестные уязвимости, сохраняя при этом прозрачность и доверие заинтересованных сторон.
Компания Synology тесно сотрудничает с сообществом по информационной безопасности Infosec, чтобы повысить безопасность наших продуктов. Наша компания много лет является спонсором Pwn2Own, ведет программу по поиску уязвимостей Security Bug Bounty и предпринимает другие усилия по обеспечению безопасности наших продуктов. Мы с гордостью вознаграждаем усилия старательных специалистов по безопасности, которые сотрудничают с нами.
Сообщите об ошибках системы безопасности или задайте вопросы, связанные с безопасностью.
