Synology 的軟體供應鏈風險管理
隨著組織對複雜上游供應鏈的依賴程度越來越高,主動風險管理的需求也逐漸增加。了解 Synology 如何透過公開透明機制、廠商管理及全面安全控管,來管理及降低延伸軟體供應鏈中的風險。
Synology 為每個產品維護一份軟體物料清單 (SBOM),並將此納入更廣泛的軟體供應鏈風險管理 (SSCRM) 策略。產品 SBOM 考慮所有開放原始碼和專有元件,藉此實現全方位的授權審查,同時改善敏感產業的符合法規要求。Synology 採用自動化流程來維護 SBOM,確保資訊保持準確且最新,並在接獲要求時提供 SBOM 給相關人員。Synology 的產品 SBOM 能在發現漏洞時,快速進行漏洞風險評估和回應。這是透過與 MITRE CVE 資料庫和美國的 CISA KEV 目錄整合來達成的。
Synology 將 SSCRM 策略採用軟體組成分析 (SCA) 列為每個產品開發的關鍵步驟。SCA 有助於防止將惡意或不安全的程式碼納入產品版本,同時可以有效確保 Synology 與下游合作夥伴遵守軟體授權規定。透過 SCA,Synology 能在開發階段及早識別及降低風險。SCA 還可以針對特定元件的程式碼庫相對品質提供有價值的見解,藉此能改善廠商管理,實現更智慧的元件納入規範。
Synology 的供應鏈上游合作夥伴幫助我們為客戶提供卓越的產品和服務,因此,Synology 致力與供應商攜手合作,實施安全第一的設計標準、開發及維持透明度,並主動提高回應能力和速度。Synology 致力於尋找優良的供應鏈合作夥伴,追求建立長久廣泛的業務合作關係是永續供應鏈策略的核心。
Synology 的內部基礎架構和回應團隊協同工作,以提高組織的資安韌性,並減輕及回應網路威脅。透過端點保護、零信任存取、集中管理安全更新,Synology 團隊積極主動保護基礎架構和資產。Synology 基礎架構團隊還會進一步監控網路流量,以降低網路威脅的風險,而 Synology 的所有安全團隊會一起制定適用於整個公司的安全準則。
開發人員遵循 Synology 內部發佈的安全編碼標準來開發產品。所有程式碼都必須經過審查程序,提交的每個元件也會經過專案架構師審查。在相關開發點會採用程式碼簽名方式,以減少潛在的威脅入侵管道。更重要的是,Synology 也嚴格遵循每個產品的標準安全開發生命週期 (SDLC) 實務,確保每個版本的品質、安全性和可維護性。
回報安全漏洞或提交安全相關問題。