Synology 安全開發生命週期
面對現今複雜的網路威脅情勢,產品生命週期的每個階段都必須主動將安全和隱私納入考量。歡迎了解 Synology 如何將安全性和使用者隱私融入所有產品,從規劃和開發到發佈和支援,堅持完美、每個環節都不放過。
確保開發管道安全無虞
規劃及設計
產品的設計一律遵循明確的安全和隱私要求,並使用詳細的威脅模型確定風險和資產的優先順序,仔細繪製資料路徑以進行審查和分析。我們接著會仔細審查元件架構,以協助建立健全、高效能的設計,這些設計不需要太多維護工作,並可提供長期價值。
實作與驗證
開發人員遵循 Synology 的安全編碼標準,根據他們設計的安全模型建立軟體元件。匯入的開放原始碼模組都經過事先驗證,Synology 開發人員使用的工具鏈也使用最新的安全更新完成修補。在實作過程中,我們會對內部軟體組建版本執行靜態應用程式安全測試 (SAST),確保開發人員完成的程式碼不會發生常見的安全漏洞。當 RC 版準備就緒時,會使用動態應用程式安全測試 (DAST) 協助確認程式碼已準備好用於生產環境。另外,也會採用自動漏洞掃描,Synology 會進行滲透測試作為最終驗證的標準方法。
發佈
完成的產品將分階段發佈,藉此降低發佈後不久發現零時差漏洞的風險。Synology 增加了一項安全措施,所有 DiskStation Manager 套件和更新都會使用受硬體安全模組保護的加密金鑰進行驗證。
回應
Synology 產品安全應變小組 (PSIRT) 會主動管理與產品相關的漏洞資訊,包含接收、調查、協調及報告。PSIRT 會在 24 小時之內迅速回應零時差漏洞,並透過 Synology Product Security Advisory 發佈漏洞通知。
Synology 對安全不變的承諾
專責的安全團隊
Synology 設立PSIRT 來全權負責協調及制訂產品安全的回應。PSIRT 透過一個全面的四步驟流程,確保與所有相關人員進行迅速的溝通、補救,且資訊完全透明。
迅速的安全事件應變
Synology 致力以業界領先的速度提供最全面的補救措施。對於零時差漏洞,我們會在前 8 小時內進行初步嚴重性評估,目標是在接下來的 15 小時內發佈修正程式。
資訊公開透明
Synology 是參與MITRE CNA 計畫的企業,能安全地與第三方安全研究人員合作,發現並修正以前未知的安全漏洞,同時與相關人員之間保持公開透明與信任。
參與資訊安全社群
Synology 與資訊安全社群密切合作,一同強化我們產品的安全性。無論是透過我們的安全漏洞回報獎勵計畫、透過我們擔任 Pwn2Own 多年贊助商的角色,還是透過我們的其他參與努力,我們一直很自豪能提供獎勵,感謝發現潛在安全問題與協助提升客戶安全的研究人員。
深入了解更多有關 Synology 產品安全策略
開始使用
回報安全漏洞或提交安全相關問題。