Ürünler, iyi tanımlanmış güvenlik ve gizlilik gereksinimlerine uygun olarak, riskleri ve varlıkları önceliklendirmek için ayrıntılı tehdit modellemesi kullanılarak ve inceleme ile analiz için dikkatlice haritalanmış veri yolları kullanılarak tasarlanır. Ardından, minimum düzeyde bakım gerektiren ve uzun vadeli değer sunan sağlam, performanslı tasarımlar oluşturmaya yardımcı olmak için bileşen mimarileri dikkatlice gözden geçirilir.
Geliştiriciler, tasarladıkları güvenlik modellerine uygun yazılım bileşenleri oluşturmak için Synology'nin güvenli kodlama standartlarını takip eder. İçe aktarılan açık kaynak modülleri önceden doğrulanır ve Synology'nin geliştiricilerinin kullandığı araç zincirleri en son güvenlik güncellemeleriyle yamalanır. Geliştiriciler tarafından tamamlanan kodun ortak güvenlik kusurları içermediğinden emin olmak için uygulama sırasında dahili yazılım yapıları üzerinde Statik Uygulama Güvenliği Testi (SAST) gerçekleştirilir. Sürüm adayları hazır olduğunda, kodun üretim ortamlarına hazır olduğunu doğrulamak için Dinamik Uygulama Güvenliği Testi (DAST) kullanılır. Otomatik güvenlik açığı taraması da kullanılır ve Synology, son doğrulama için standart bir yöntem olarak penetrasyon testi yapar.
Tamamlanan ürünler aşamalı bir sürüm sürecinden sonra dağıtılır ve böylece lansmandan kısa bir süre sonra sıfır gün açığının keşfedilmesi durumunda risk azaltılır. Synology, ek bir güvenlik önlemi olarak tüm DiskStation Manager paketlerini ve güncellemelerini, donanım güvenlik modülleriyle güvence altına alan şifreleme anahtarları kullanarak imzalar.
Synology Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), ürünlerle ilgili güvenlik açığı bilgilerinin alınmasını, incelenmesini, koordinasyonunu ve raporlanmasını proaktif olarak yönetir. PSIRT, sıfır gün açıklarına yanıt vermek için 24 saatten daha kısa bir geri dönüş yanıt süresi sağlar ve Synology Ürün Güvenliği Danışmanı aracılığıyla güvenlik açığı uyarıları yayınlar.
Synology'de PSIRT, ürün güvenliği yanıtlarını koordine etme ve yürürlüğe koyma konusunda tüm sorumluluğu üstlenir. Dört adımlı kapsamlı bir süreç uygulayan PSIRT, ilgili tüm paydaşlarla duyarlı iletişim, iyileştirme, hız ve şeffaflık sağlar.
Synology, sektör lideri hızda kapsamlı iyileştirmeler sunmayı taahhüt eder. Sıfır gün açıkları söz konusu olduğunda, ilk önem değerlendirmemizi ilk 8 saat içinde yaparız ve hedef süremiz, gelecek 15 saat içinde bir düzeltme yayınlamaktır.
Bir MITRE CVE Numbering Yetkilisi olarak Synology, daha önce bilinmeyen güvenlik açıklarını keşfetmek ve düzeltmek için üçüncü taraf güvenlik araştırmacılarıyla güvenli bir şekilde çalışırken, paydaşlarla arasındaki şeffaflığı ve güveni sürdürür.
Synology, ürünlerimizin güvenliğini artırmak için bilgi güvenliği topluluğuyla yakın bir şekilde çalışır. İster Güvenlik Açığı Ödül Programımız'daki Pwn2Own'un çok yıllı sponsor rolümüz aracılığıyla ister diğer katılım çabalarımızla, bizimle iş birliği yapan gayretli güvenlik uzmanlarının çalışmalarını gururla ödüllendiriyoruz.
Güvenlik hatalarını bildirin veya güvenlikle ilgili sorular gönderin.
