Synology 的軟體供應鏈風險管理

全面的 SBOM：提高透明度並改善回應能力

Synology 為每個產品維護一份軟體物料清單 (SBOM)，並將此納入更廣泛的軟體供應鏈風險管理 (SSCRM) 策略。產品 SBOM 考慮所有開放原始碼和專有元件，藉此實現全方位的授權審查，同時改善敏感產業的符合法規要求。Synology 採用自動化流程來維護 SBOM，確保資訊保持準確且最新，並在接獲要求時提供 SBOM 給相關人員。Synology 的產品 SBOM 能在發現漏洞時，快速進行漏洞風險評估和回應。這是透過與 MITRE CVE 資料庫和美國的 CISA KEV 目錄整合來達成的。

軟體組成分析：提高品質、降低風險

Synology 將 SSCRM 策略採用軟體組成分析 (SCA) 列為每個產品開發的關鍵步驟。SCA 有助於防止將惡意或不安全的程式碼納入產品版本，同時可以有效確保 Synology 與下游合作夥伴遵守軟體授權規定。透過 SCA，Synology 能在開發階段及早識別及降低風險。SCA 還可以針對特定元件的程式碼庫相對品質提供有價值的見解，藉此能改善廠商管理，實現更智慧的元件納入規範。

與上游供應商合作

Synology 的供應鏈上游合作夥伴幫助我們為客戶提供卓越的產品和服務，因此，Synology 致力與供應商攜手合作，實施安全第一的設計標準、開發及維持透明度，並主動提高回應能力和速度。Synology 致力於尋找優良的供應鏈合作夥伴，追求建立長久廣泛的業務合作關係是永續供應鏈策略的核心。

內部安全是第一優先