Thiết kế của các sản phẩm tuân theo các yêu cầu về bảo mật và quyền riêng tư được xác định rõ ràng, sử dụng mô hình nguy cơ chi tiết để ưu tiên các loại rủi ro và tài sản, đồng thời thống kê chi tiết các đường dẫn dữ liệu để kiểm tra và phân tích. Sau đó, các kiến trúc thành phần sẽ được kiểm duyệt cẩn thận để giúp tạo ra những thiết kế mạnh mẽ, hiệu quả, yêu cầu mức độ bảo trì tối thiểu và mang lại giá trị lâu dài.
Các nhà phát triển tuân theo các tiêu chuẩn của Synology về mã hóa an toàn để tạo ra các yếu tố phần mềm phù hợp với mô hình bảo mật mà họ đã thiết kế. Các mô-đun nguồn mở được xác minh trước khi nhập và chuỗi công cụ mà các nhà phát triển Synology sử dụng luôn được vá bằng các bản cập nhật bảo mật mới nhất. Công đoạn Kiểm tra bảo mật ứng dụng tĩnh (SAST) được thực hiện trên các bản dựng phần mềm nội bộ trong quá trình triển khai để đảm bảo mã lệnh hoàn thiện của nhà phát triển tránh được các lỗi bảo mật phổ biến. Khi các bản phát hành sản xuất đã sẵn sàng, công đoạn Kiểm tra bảo mật ứng dụng động (DAST) được sử dụng để giúp xác nhận rằng mã lệnh đã sẵn sàng cho môi trường sản xuất. Tính năng quét lỗ hổng tự động cũng được sử dụng và Synology tiến hành thử nghiệm khả năng thâm nhập như một phương pháp tiêu chuẩn để xác minh lần cuối.
Các sản phẩm hoàn chỉnh được phân phối theo từng giai đoạn phát hành, từ đó giúp giảm thiểu rủi ro trong trường hợp phát hiện hành vi khai thác lỗ hổng zero-day ngay sau khi ra mắt. Để bổ sung thêm một biện pháp bảo mật, Synology ký tất cả các gói sản phẩm và bản cập nhật DiskStation Manager bằng khóa mã hóa, bảo mật bằng mô-đun bảo mật phần cứng.
Nhóm ứng phó sự cố bảo mật sản phẩm Synology (PSIRT) chủ động quản lý quá trình tiếp nhận, điều tra, điều phối và báo cáo thông tin về lỗ hổng liên quan đến sản phẩm. PSIRT duy trì thời gian ứng phó dưới 24 giờ đối với các hoạt động khai thác lỗ hổng zero-day cũng như đăng cảnh báo về lỗ hổng bảo mật thông qua trang Tư vấn bảo mật sản phẩm Synology.
Tại Synology, PSIRT có toàn quyền điều phối và triển khai ứng phó các vấn đề về bảo mật sản phẩm. Với quy trình bốn bước toàn diện, PSIRT đảm bảo khả năng giao tiếp nhanh chóng, khắc phục sự cố, tốc độ và tính minh bạch với tất cả các bên liên quan.
Synology cam kết khắc phục sự cố toàn diện với tốc độ hàng đầu trong ngành. Đối với các hoạt động khai thác lỗ hổng zero-day, chúng tôi tiến hành đánh giá mức độ nghiêm trọng ban đầu trong vòng 8 giờ đầu tiên, với thời gian mục tiêu là đưa ra bản sửa lỗi trong vòng 15 giờ tiếp theo.
Với tư cách là Cơ quan đánh số MITER CVE, Synology có thể làm việc an toàn với các nhà nghiên cứu bảo mật bên thứ ba để phát hiện và khắc phục các hoạt động khai thác lỗ hổng bảo mật chưa được biết tới, đồng thời vẫn duy trì tính minh bạch và độ tin cậy với các bên liên quan.
Synology hợp tác chặt chẽ với cộng đồng bảo mật thông tin nhằm nâng cao tính mức độ an toàn cho các sản phẩm của chúng tôi. Cho dù là thông qua Chương trình săn tìm lỗi bảo mật có thưởng hay với vai trò là nhà tài trợ nhiều năm cho Pwn2Own cũng như những nỗ lực gắn kết khác, chúng tôi trân trọng nỗ lực của các chuyên gia bảo mật mẫn cán đã hợp tác với chúng tôi.
Báo cáo lỗi bảo mật hoặc gửi câu hỏi liên quan đến bảo mật.
