Synology 安全开发生命周期
面对当下复杂的网络威胁形势,产品生命周期的每个阶段都必须主动将安全和隐私纳入考量范围。了解 Synology 如何将安全性和用户隐私融入到所有产品中,从规划和开发到发布和支持,坚守每一个环节。
确保开发渠道的安全
规划和设计
产品的设计遵循明确定义的安全性和隐私要求,使用详细的威胁建模来确定风险和资产的优先级,并仔细绘制数据路径以供审查和分析。随后我们会仔细审查组件架构,以协助建立可靠的高性能设计,这些设计不需要太多维护工作,并且可提供长期价值。
实施和验证
开发人员遵循 Synology 的安全编码标准,根据他们设计的安全模型建立软件组件。导入的开放源代码模块会进行预先验证,并且 Synology 开发人员使用的工具链会一直使用新的安全更新进行修补。在实施过程中,会对内部软件版本执行静态应用程序安全测试 (SAST),确保开发人员完成的代码不会出现常见的安全缺陷。当 RC 版本准备就绪时,会使用动态应用程序安全测试 (DAST) 帮助确认代码是否已准备好用于生产环境。此外还采用了自动漏洞扫描,并且 Synology 采用渗透测试作为最终验证的标准方法。
发布
完成的产品将分阶段发布,从而降低发布后不久发现零日漏洞的风险。Synology 增加了一项安全措施,所有 DiskStation Manager 套件和更新都会使用受硬件安全模块保护的加密密钥进行验证。
响应
Synology 产品安全应变小组 (PSIRT) 会主动管理与产品相关的漏洞信息,包含接收、调查、协调及报告。PSIRT 会在 24 小时之内迅速响应零日漏洞,并通过 Synology Product Security Advisory 发布漏洞警报。
Synology 对安全不变的承诺
专门的安全团队
Synology 设立 PSIRT 来全权负责协调及执行产品安全的响应。PSIRT 通过一个全面的四步骤流程,确保与所有相关人员进行迅速的沟通、补救,且信息保持透明。
迅速响应安全事件
Synology 致力于以引领业界的速度提供全面的修复。对于零日漏洞,我们会在前 8 小时内进行初始严重性评估,并在接下来的 15 小时内发布修复。
公开透明的信息
作为 MITRE CVE 编号机构,Synology 能够安全地与第三方安全研究人员合作,以发现和修复以前未知的安全漏洞,同时与相关人员保持公开透明与信任。
参与信息安全社群
Synology 与信息安全社群密切合作,一同强化我们产品的安全性。无论是通过我们的安全漏洞回报奖励计划、通过我们担任 Pwn2Own 多年赞助商的角色,还是通过我们的其他参与工作,我们一直很自豪于能够奖励发现潜在安全问题与协助提升客户安全的研究人员。
深入了解更多有关 Synology 产品的安全策略
开始使用
报告安全性错误或提交与安全性相关的问题。