วงจรการพัฒนาที่ปลอดภัยของ Synology

สถานการณ์ภัยคุกคามทางไซเบอร์ยุคใหม่จำเป็นต้องคำนึงถึงความปลอดภัยและความเป็นส่วนตัวอย่างจริงจังในทุกขั้นตอนของวงจรผลิตภัณฑ์ ค้นพบวิธีที่ Synology ผนวกรวมความปลอดภัยและความเป็นส่วนตัวของผู้ใช้เข้ากับทุกผลิตภัณฑ์ ตั้งแต่การวางแผนและพัฒนาไปจนถึงการวางจำหน่ายและซัพพอร์ต

การรักษาความปลอดภัยไปป์ไลน์การพัฒนา

การวางแผนและการออกแบบ

ผลิตภัณฑ์ได้รับการออกแบบตามข้อกำหนดด้านความปลอดภัยและความเป็นส่วนตัวที่กำหนดไว้อย่างดี โดยใช้การสร้างแบบจำลองภัยคุกคามโดยละเอียดเพื่อจัดลำดับความสำคัญของความเสี่ยงและทรัพย์สิน และมีการแมปเส้นทางข้อมูลอย่างรอบคอบเพื่อตรวจสอบและวิเคราะห์ สถาปัตยกรรมส่วนประกอบจะได้รับการตรวจสอบอย่างรอบคอบเพื่อช่วยสร้างการออกแบบที่มีประสิทธิภาพและแข็งแกร่งที่ต้องการการบำรุงรักษาน้อยที่สุด และมีคุณค่าในระยะยาว

การดำเนินการและการตรวจสอบ

ผู้พัฒนาจะทำตามมาตรฐานของ Synology สำหรับการเขียนโค้ดที่ปลอดภัยเพื่อสร้างองค์ประกอบซอฟต์แวร์ตามโมเดลด้านความปลอดภัยที่ได้ออกแบบขึ้น โมดูลโอเพนซอร์สที่นำเข้ามาจะผ่านการตรวจสอบล่วงหน้า และกลุ่มเครื่องมือที่ผู้พัฒนาของ Synology ใช้จะได้รับแพตช์จากอัปเดตด้านความปลอดภัยล่าสุดอยู่เสมอ จะมีการทดสอบด้านการรักษาความปลอดภัยของแอปพลิเคชันแบบสเตติก (SAST) กับการสร้างซอฟต์แวร์ภายในระหว่างการปรับใช้งานเพื่อให้มั่นใจว่าโค้ดที่สมบูรณ์ของผู้พัฒนาจะไม่มีช่องโหว่ด้านความปลอดภัยทั่วไป เมื่อ Release candidate พร้อมแล้ว จะมีการทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิก (DAST) เพื่อช่วยยืนยันว่าโค้ดพร้อมสำหรับสภาพแวดล้อมการใช้งานจริงแล้ว นอกจากนี้ยังมีการสแกนหาช่องโหว่โดยอัตโนมัติ และ Synology จะทำการทดสอบการเจาะเป็นวิธีมาตรฐานสำหรับการตรวจสอบขั้นสุดท้าย

การรีลีส

ผลิตภัณฑ์ที่เสร็จสมบูรณ์จะได้รับการะเผยแพร่ตามขั้นตอนการรีลีส ซึ่งจะช่วยลดความเสี่ยงในกรณีที่มีการค้นพบช่องโหว่แบบ Zero-day ไม่นานหลังการเปิดตัว เพื่อมาตรฐานการรักษาความปลอดภัยเพิ่มเติม Synology จะลงนามแพ็คเกจและการอัปเดต DiskStation Manager ทั้งหมดโดยใช้คีย์การเข้ารหัสที่ปลอดภัยด้วยโมดูลความปลอดภัยของฮาร์ดแวร์

การตอบสนอง

ทีมรับมือเหตุการณ์ด้านความปลอดภัยผลิตภัณฑ์ (PSIRT) ของ Synology จะจัดการการรับ การสืบสวน การประสานงาน และการรายงานข้อมูลช่องโหว่ที่เกี่ยวข้องกับผลิตภัณฑ์ PSIRT จะรักษาระยะเวลาในการตอบสนองการโจมตีแบบ Zero-day ให้น้อยกว่า 24 ชั่วโมง และเผยแพร่การเตือนช่องโหว่ผ่าน การให้คำแนะนำด้านความปลอดภัยสำหรับผลิตภัณฑ์ Synology

Synology Secure Development Lifecycle porcess

ความมุ่งมั่นต่อการรักษาความปลอดภัยอย่างต่อเนื่องของ Synology

ทีมรักษาความปลอดภัยโดยเฉพาะ

ที่ Synology ทีม PSIRT จะรับผิดชอบการประสานงานอย่างเต็มรูปแบบและดำเนินการตอบสนองด้านความปลอดภัยของผลิตภัณฑ์ ด้วยกระบวนการสี่ขั้นตอนที่ครอบคลุม PSIRT จะช่วยให้มั่นใจถึงการสื่อสารในการตอบสนอง การแก้ไข ความรวดเร็ว และความโปร่งใสกับผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องทั้งหมด

การตอบสนองต่อเหตุการณ์ด้านความปลอดภัยอย่างรวดเร็ว

Synology มุ่งมั่นที่จะให้การแก้ไขที่ครอบคลุมด้วยความเร็วที่เป็นผู้นำของอุตสาหกรรม สำหรับการโจมตีแบบ Zero-day เราจะประเมินความรุนแรงเบื้องต้นภายใน 8 ชั่วโมงแรก ด้วยเวลาเป้าหมายที่จะรีลีสการแก้ไขภายใน 15 ชั่วโมงถัดไป

ความโปร่งใสของผู้มีส่วนได้ส่วนเสีย

ในฐานะ MITRE CVE Numbering Authority Synology ทำงานร่วมกับนักวิจัยด้านความปลอดภัยบุคคลที่สามได้อย่างปลอดภัยเพื่อค้นหาและแก้ไขช่องโหว่ด้านความปลอดภัยที่ไม่รู้จักก่อนหน้านี้ ในขณะเดียวกันก็รักษาความโปร่งใสและความไว้วางใจกับผู้มีส่วนได้ส่วนเสีย

การมีส่วนร่วมกับ infosec community

Synology ทำงานอย่างใกล้ชิดกับcommunity การรักษาความปลอดภัยของข้อมูลเพื่อเพิ่มประสิทธิภาพด้านความปลอดภัยของผลิตภัณฑ์ของเรา ไม่ว่าจะเป็น โปรแกรมเงินรางวัลสำหรับบักความปลอดภัย บทบาทของเราในการเป็นผู้สนับสนุน Pwn2Own หลายปี หรือด้วยความพยายามในการมีส่วนร่วมอื่นๆ ของเรา เราภูมิใจที่จะมอบรางวัลแห่งความพยายามของผู้เชี่ยวชาญด้านความปลอดภัยที่อุทิศตนเป็นพันธมิตรกับเรา

ข้อมูลเพิ่มเติมเกี่ยวกับวิธีการรักษาความปลอดภัยของ Synology

เริ่มต้น

รายงานบักด้านความปลอดภัยหรือส่งคำถามที่เกี่ยวข้องกับความปลอดภัย

ติดต่อเรา