Sicurezza dei prodotti NETGEAR

commitment desktop

Il nostro impegno

In NETGEAR, ci impegniamo a connettere le persone a Internet in modo sicuro attraverso pratiche di progettazione sicura, integrità della catena di fornitura, monitoraggio proattivo delle minacce e funzionalità di sicurezza innovative. Il nostro team è impegnato in un solido programma di sicurezza dei prodotti che conquista la fiducia dei clienti e si adatta al panorama delle minacce informatiche in continua evoluzione.

Segnala una vulnerabilità

Il team di sicurezza dei prodotti NETGEAR esamina tutte le segnalazioni di vulnerabilità di sicurezza che interessano i prodotti e i servizi NETGEAR. Se sei un ricercatore di sicurezza e ritieni di aver scoperto una potenziale vulnerabilità, segnala le tue scoperte tramite la nostra

Includi nel tuo rapporto:

  • Prodotti, modelli, hardware, firmware o versioni software interessati
  • Passaggi di riproduzione chiari/PoC, comportamento previsto vs. comportamento effettivo
  • Impatto sulla sicurezza o gravità suggerita
  • I tuoi dati di contatto e come accreditarti, o se preferisci rimanere anonimo


Per ulteriori informazioni, consultare il nostro file security.txt.

Gestione e risposta alle vulnerabilità

Il nostro team di sicurezza dei prodotti gestisce il ciclo di sviluppo sicuro su tutte le linee di prodotto, inclusi la valutazione e la divulgazione dei problemi di sicurezza.

Cosa aspettarsi:

Risposta iniziale

Le segnalazioni vengono confermate entro 3 giorni lavorativi (USA).
La valutazione iniziale viene completata entro 5 giorni lavorativi (USA).

Aggiornamenti sulla risoluzione dei problemi

I ricercatori vengono informati quando una correzione è pronta o viene assegnato un CVE.

Incentivi e riconoscimento pubblico

I contributori idonei ricevono un premio Bug Bounty e/o un riconoscimento e vengono menzionati nel Record CVE se richiesto.

Rispettiamo le etichette FIRST TLP v2.0 in tutte le nostre comunicazioni. In assenza di indicazioni, trattiamo le segnalazioni come TLP: AMBER, che possono essere condivise con i nostri partner tecnologici su base need-to-know ai fini dello sviluppo o del test di correzioni.

CVSS desktop

Prioritizzazione e analisi

Diamo priorità alla risposta ai problemi utilizzando la metodologia Stakeholder-Specific Vulnerability Categorization (SSVC) e utilizziamo il Common Vulnerability Scoring System (CVSS) per valutare la gravità tecnica dei problemi.

Cronologia e idoneità del prodotto

I problemi che richiedono attenzione immediata attivano il nostro piano di risposta alle emergenze e vengono affrontati il prima possibile. In caso contrario, sviluppiamo rimedi e correzioni per i prodotti supportati attraverso i nostri cicli standard di sviluppo, garanzia della qualità e distribuzione graduale. In casi eccezionali, la risoluzione può richiedere più tempo quando dipende da terze parti o da organizzazioni di standardizzazione. I segnalatori vengono tenuti informati in tali casi.
Tutti i problemi segnalati vengono valutati per determinarne l'applicabilità ai prodotti supportati. In generale, solo i prodotti ancora nel loro periodo di supporto ricevono aggiornamenti di sicurezza.

Avvisi di sicurezza

Gli avvisi di sicurezza vengono pubblicati nella pagina degli avvisi di sicurezza NETGEAR. La divulgazione pubblica è coordinata per massimizzare la sicurezza degli utenti. I ricercatori vengono accreditati negli avvisi, se lo desiderano.
Gli avvisi relativi a problemi che richiedono attenzione immediata vengono pubblicati il prima possibile. Tutti gli altri problemi vengono pubblicati in un aggiornamento mensile delle patch di sicurezza che elenca le vulnerabilità risolte.

Partnership con il programma CVE

NETGEAR è un Partner del programma CVE (CNA) ed è autorizzata ad assegnare ID CVE e pubblicare record CVE per le vulnerabilità in tutti i prodotti NETGEAR, i prodotti delle consociate e i componenti di terze parti utilizzati nei prodotti NETGEAR che non rientrano già nell'ambito di un altro CNA.

Processo di assegnazione

Gli ID CVE e i Record CVE vengono assegnati e pubblicati in conformità alle Regole operative CNA CVE. I nostri record includono informazioni CWE, CVSS e CPE, allineate agli obiettivi del nostro impegno CISA Secure by Design.

Dispositivi legacy

La nostra capacità di convalidare le vulnerabilità nei dispositivi legacy o non supportati è limitata. Per aiutare i clienti a comprendere i rischi, assegniamo ID CVE per i problemi che interessano questi dispositivi quando vengono fornite prove credibili di una vulnerabilità e del suo impatto.

Componenti di terze parti

Se una vulnerabilità riguarda principalmente un componente di terze parti con il proprio CNA, ci coordiniamo con tale CNA ed evitiamo assegnazioni duplicate.

lock security desktop

NETGEAR si allinea agli standard del settore

La nostra politica e i nostri processi sono allineati a standard, framework e linee guida ampiamente riconosciuti:

Safe Harbor e ricerca in buona fede

Incoraggiamo i ricercatori di sicurezza a presentare le proprie scoperte e a segnalarcele senza timore di conseguenze legali. Se agisci in buona fede e rispetti questa policy, NETGEAR considererà tale ricerca come autorizzata e non avvierà azioni legali. Qualora un terzo dovesse avviare un'azione legale contro un ricercatore di sicurezza per attività condotte in conformità con questa policy, NETGEAR renderà nota tale autorizzazione.
La buona fede in questo contesto significa: evitare violazioni della privacy, distruzione di dati o interruzioni del servizio; non accedere, esfiltrare o conservare dati che non ti appartengono; non divulgare pubblicamente prima che NETGEAR abbia avuto una ragionevole opportunità di correggere; non assistere i criminali informatici nello sfruttamento delle vulnerabilità a danno dei nostri clienti; interrompere i test se si incontrano dati degli utenti; rispettare la legge applicabile.

ULTIMO AGGIORNAMENTO: DICEMBRE 2025

Si applica a tutto l'hardware, il firmware, il software, le app mobili, i servizi cloud e le proprietà web di NETGEAR e delle sue consociate, salvo diversa indicazione.