V rámci širší strategie řízení rizik v dodavatelském řetězci softwaru (SSCRM) udržuje společnost Synology pro jednotlivé produkty seznamy součástí softwaru (SBOM). Seznamy součástí softwaru obsahují všechny komponenty typu open source i patentované komponenty, což umožňuje komplexní kontrolu licencí a lepší dodržování předpisů v citlivých oblastech. Společnost Synology používá k řízení seznamu součástí softwaru automatizovaný proces, který zajišťuje aktuálnost a přesnost informací. Seznamy součástí jsou podle potřeby k dispozici příslušným zúčastněným osobám a zákazníkům. Seznamy součástí softwaru společnosti Synology umožňují provést rychlé vyhodnocení rizika zranitelnosti a rychle zareagovat v případě zjištění zranitelností. Umožňuje to integrace s databází MITRE CVE a katalogem CISA KEV USA.
Strategie SSCRM společnosti Synology využívá jako důležitý krok vývoje každého produktu tzv. analýzu složení softwaru (SCA). Analýza složení softwaru pomáhá předcházet začlenění škodlivého nebo nebezpečného kódu do verzí produktů a umožňuje zajistit dodržování licenčních podmínek pro společnost Synology a partnery nacházejících se níže v dodavatelském řetězci. Pomocí analýzy složení softwaru dokáže společnost Synology identifikovat a eliminovat rizika v časné fázi vývojového procesu. Analýza složení softwaru také nabízí cenný přehled o relativní kvalitě základního kódu libovolné komponenty, umožňuje lepší řízení dodavatelů a chytřejší začleňování komponent.
Partneři společnosti Synology nacházející se výše v dodavatelském řetězci nám pomáhají dodávat vynikající produkty a služby našim zákazníkům. Proto se společnost Synology snaží se svými dodavateli spolupracovat na implementaci návrhářských standardů kladoucích důraz na zabezpečení, na vývoj a zajišťování transparentnosti a na proaktivní zlepšování schopnosti a rychlosti reakce. Společnost Synology vyhledává v dodavatelském řetězci vysoce kvalitní partnery a v rámci dlouhodobé strategie dodavatelského řetězce se s nimi snaží navázat dlouhodobá obchodní partnerství.
Týmy zabývající se ve společnosti Synology interní infrastrukturou a reakcemi na incidenty spolupracují na zlepšování odolnosti organizace, na předcházení kybernetickým hrozbám a na případných reakcích na takové hrozby. Týmy společnosti Synology proaktivně pracují na ochraně infrastruktury i datových zdrojů prostřednictvím ochrany koncových bodů, přístupu založeného na nulové důvěře a centralizované správě aktualizací zabezpečení. Tým společnosti Synology pro infrastrukturu dále monitoruje síťový provoz, snižuje riziko kybernetických hrozeb a všechny týmy společnosti Synology zabývající se zabezpečením se společně účastní na vypracování průběžných pokynů týkajících se zabezpečení v celé společnosti.
Při vývoji svých produktů vývojáři dodržují standardy týkající se bezpečného kódování interně publikované společností Synology. Veškerý kód prochází kontrolou a každou odevzdanou komponentu kontrolují architekti projektu. V relevantních bodech vývoje se používá podepisování kódu, které omezuje vektory potenciálních hrozeb. Společnost Synology dále u všech produktů dodržuje standard SDLC (Životní cyklus vývoje zabezpečení), který zajišťuje kvalitu, zabezpečení a možnosti údržby jednotlivých verzí.
Nahlaste chyby v zabezpečení nebo odešlete dotazy související se zabezpečením.
