Synology upprätthåller en programvaruförteckning (Software Bill of Materials - SBOM) för varje produkt som en del av en bredare strategi för riskhantering för programvaruleveranskedjan (Software Supply Chain Risk Management - SSCRM). I SBOM för produkter redovisas alla komponenter med öppen källkod och egenutvecklade komponenter, vilket möjliggör omfattande licensgranskning och förbättrad efterlevnad för känsliga branscher. Synology använder en automatiserad process för att upprätthålla SBOM, så att informationen är korrekt och aktuell. SBOM görs tillgängliga för relevanta intressenter och kunder efter behov. Synologys produkt-SBOM möjliggör snabb sårbarhetsriskbedömning och respons när sårbarheter identifieras. Detta möjliggörs genom integrering med MITRE CVE-databasen och USA:s CISA KEV-katalog.
Synologys SSCRM-strategi använder analys av programvarustacken (Software Composition Analysis - SCA) som ett kritiskt steg för varje produkts utveckling. SCA bidrar till att förhindra att skadlig eller osäker kod inkluderas i produktutgåvorna, och det möjliggör licensefterlevnad för Synology och partner i senare led. Med SCA kan Synology identifiera och minska riskerna tidigt i utvecklingsstadiet. SCA erbjuder dessutom värdefulla insikter om en kodbas relativa kvalitet för en given komponent, vilket möjliggör förbättrad leverantörshantering och smartare komponenter.
Synologys partner i tidigare led av leveranskedjan hjälper oss att leverera utmärkta produkter och tjänster till våra kunder. Därför tror Synology på nyttan av samarbete med leverantörer för att implementera säkerhetsstandarder, utveckla och upprätthålla transparens och proaktivt förbättra svarsförmåga och svarshastighet. Synology identifierar högkvalitativa leveranskedjepartner och söker varaktiga och utökade affärspartnerskap som en långsiktig strategi för leveranskedjan.
Synologys interna infrastruktur- och svarsteam arbetar tillsammans för att förbättra organisationens motståndskraft och för att begränsa och reagera på cyberhot. Genom ändpunktsskydd, nolltillitsåtkomst och centraliserad hantering av säkerhetsuppdateringar arbetar Synologys team proaktivt för att skydda infrastruktur och tillgångar. Dessutom övervakar Synologys infrastrukturteam nätverkstrafiken, vilket minskar risken för cyberhot, och alla Synologys säkerhetsteam deltar i att utarbeta aktuella säkerhetsriktlinjer för hela företaget.
Utvecklare följer Synologys internt publicerade standarder för säker kodning när de utvecklar produkter. All kod genomgår granskning och varje komponent som skickas in bekräftas av projektarkitekter. Kodsignering används vid relevanta utvecklingspunkter, vilket minskar potentiella attackvektorer. Viktigt är att Synology även följer standardmetoder för livscykel för säker utveckling (Secure Development Lifecycle - SDLC) för varje produkt, vilket borgar för kvalitet, säkerhet och underhållbarhet i varje utgåva.
Rapportera säkerhetsfel eller skicka säkerhetsrelaterade frågor.
