Produkterna är utformade efter väldefinierade säkerhets- och sekretesskrav med hjälp av detaljerad hotmodellering för att prioritera risker och tillgångar, och med noggrant kartlagda datavägar för granskning och analys. Komponentarkitekturer granskas sedan noga för att hjälpa till att skapa robusta, högpresterande konstruktioner som kräver minimala underhållsnivåer och ger långsiktigt värde.
Utvecklare följer Synologys standarder för säker kodning för att skapa programvarukomponenter i enlighet med de säkerhetsmodeller de har utformat. Importerade moduler med öppen källkod är förverifierade och verktygskedjorna som Synologys utvecklare använder hålls korrigerade med de senaste säkerhetsuppdateringarna. Static Application Security Testing (SAST) utförs på interna programvarubyggen under implementeringen för att säkerställa att utvecklarnas färdiga kod undviker vanliga säkerhetsbrister. När förhandsversioner är redo används Dynamic Application Security Testing (DAST) för att bekräfta att koden är klar för produktionsmiljöer. Även automatiserad sårbarhetsskanning används, och Synology utför penetrationstester som en standardmetod för slutlig verifiering.
Färdiga produkter distribueras efter en stegvis utgivning, vilket minskar risken om en dagnollexploatering upptäcks kort tid efter lanseringen. Som en extra säkerhetsåtgärd signerar Synology alla DiskStation Manager-paket och uppdateringar med hjälp av krypteringsnycklar som är skyddade med maskinvarusäkerhetsmoduler.
Synology Product Security Incident Response Team (PSIRT) hanterar proaktivt mottagande, utredning, samordning och rapportering av sårbarhetsinformation relaterad till produkter. PSIRT upprätthåller en svarstid på mindre än 24 timmar för att svara på dagnollexploateringar och publicerar sårbarhetsvarningar via Synology Product Security Advisory.
På Synology tar PSIRT fullt ansvar för att samordna och vidta åtgärder för produktsäkerhet. Med en omfattande process i fyra steg säkerställer PSIRT responsiv kommunikation, åtgärd, hastighet och transparens med alla relevanta intressenter.
Synology strävar efter att leverera omfattande åtgärder i en branschledande takt. För dagnollexploateringar gör vi en initial bedömning av allvarlighetsgraden inom de första 8 timmarna, med en måltid för att släppa en korrigering inom de nästkommande 15 timmarna.
I egenskap av MITRE CVE Numbering Authority kan Synology på ett säkert sätt samarbeta med säkerhetsforskare från tredje part för att upptäcka och åtgärda tidigare okända säkerhetsexploateringar samtidigt som transparens och förtroende upprätthålls hos intressenter.
Synology har ett nära samarbete med informationssäkerhetsgemenskapen för att förbättra säkerheten för våra produkter. Oavsett om det är genom vårt säkerhetsbelöningsprogram vid fel, vår roll som flerårig sponsor av Pwn2Own eller genom våra andra engagemang, belönar vi stolt de ihärdiga insatserna från säkerhetsexperter som samarbetar med oss.
Rapportera säkerhetsfel eller skicka säkerhetsrelaterade frågor.
