Sicurezza dei prodotti NETGEAR

commitment desktop

Il nostro impegno

In NETGEAR, lavoriamo per connettere le persone a Internet in modo sicuro attraverso pratiche di progettazione sicura, integrità della catena di fornitura, monitoraggio proattivo delle minacce e funzionalità di sicurezza innovative. Il nostro team è impegnato in un solido programma di sicurezza dei prodotti che conquista la fiducia dei clienti e si adatta al panorama in continua evoluzione delle minacce informatiche.

Segnala una vulnerabilità

Il team di sicurezza dei prodotti NETGEAR esamina tutte le segnalazioni di vulnerabilità di sicurezza che interessano i prodotti e i servizi NETGEAR. Se sei un ricercatore di sicurezza e ritieni di aver scoperto una potenziale vulnerabilità di sicurezza, ti invitiamo a segnalare i tuoi risultati direttamente al team di sicurezza dei prodotti NETGEAR. Sono previsti premi Bug Bounty per le segnalazioni valide e idonee.

Includi nel tuo report:

  • Prodotti, modelli, versioni hardware, firmware o software interessati
  • Passaggi di riproduzione chiari/PoC, comportamento atteso vs. comportamento effettivo
  • Impatto sulla sicurezza o gravità suggerita
  • I tuoi dati di contatto e come accreditarti, o se preferisci rimanere anonimo

Per ulteriori informazioni, consulta il nostro file security.txt.


Gestione e risposta alle vulnerabilità

Il nostro team di sicurezza dei prodotti gestisce il ciclo di sviluppo sicuro su tutte le linee di prodotto, inclusi il triage e la divulgazione dei problemi di sicurezza.

Cosa aspettarsi:

Risposta iniziale

Le segnalazioni vengono confermate entro 3 giorni lavorativi (USA).
Il triage iniziale viene completato entro 5 giorni lavorativi (USA).

Aggiornamenti sulla risoluzione dei problemi

I ricercatori vengono informati quando una correzione è pronta o viene assegnato un CVE.

Incentivi e riconoscimento pubblico

I contributori idonei ricevono un premio Bug Bounty e/o un riconoscimento e vengono menzionati nel record CVE, se richiesto.


Rispettiamo le etichette FIRST TLP v2.0 in tutte le nostre comunicazioni. In assenza di tali etichette, trattiamo le segnalazioni come TLP: AMBER, che possono essere condivise con i nostri partner tecnologici su base need-to-know ai fini dello sviluppo o del test delle correzioni.


CVSS desktop

Prioritizzazione e analisi

Diamo priorità alla risposta ai problemi utilizzando la metodologia Stakeholder-Specific Vulnerability Categorization (SSVC) e impieghiamo il Common Vulnerability Scoring System (CVSS) per valutare la gravità tecnica dei problemi.

Tempistiche e idoneità del prodotto
I problemi che richiedono attenzione immediata attivano il nostro piano di risposta alle emergenze e vengono affrontati il prima possibile. In caso contrario, sviluppiamo rimedi e correzioni per i prodotti supportati attraverso i nostri cicli standard di sviluppo, garanzia della qualità e distribuzione graduale. In casi eccezionali, la risoluzione può richiedere più tempo quando dipende da terze parti o da organizzazioni di standardizzazione. I segnalatori vengono tenuti informati in tali casi.
Tutti i problemi segnalati vengono sottoposti a triage per determinarne l'applicabilità ai prodotti supportati. In generale, solo i prodotti ancora nel loro periodo di supporto ricevono aggiornamenti di sicurezza.

Avvisi di sicurezza

Gli avvisi di sicurezza vengono pubblicati nella pagina Avvisi di sicurezza NETGEAR. La divulgazione pubblica è coordinata per massimizzare la sicurezza degli utenti. I ricercatori vengono citati negli avvisi, se lo desiderano.
Gli avvisi relativi a problemi che richiedono attenzione immediata vengono pubblicati il prima possibile. Tutti gli altri problemi vengono pubblicati in un aggiornamento mensile delle patch di sicurezza che elenca le vulnerabilità risolte.

Partnership di programma con CVE

NETGEAR è un Partner del Programma CVE (CNA) ed è autorizzata ad assegnare ID CVE e a pubblicare record CVE per le vulnerabilità in tutti i prodotti NETGEAR, nei prodotti delle sue filiali e nei componenti di terze parti utilizzati nei prodotti NETGEAR che non sono già coperti dall'ambito di un altro CNA.

Processo di assegnazione

Gli ID CVE e i record CVE vengono assegnati e pubblicati in conformità alle regole operative CNA del CVE. I nostri record includono informazioni su CWE, CVSS e CPE, in linea con gli obiettivi del nostro impegno CISA Secure by Design.

Dispositivi legacy

Poiché la nostra capacità di convalidare le vulnerabilità nei dispositivi legacy o non supportati è limitata, ci affidiamo a prove esterne credibili. Quando tali prove dimostrano una vulnerabilità e il suo impatto, assegniamo un ID CVE per aiutare i clienti a comprendere e gestire il rischio associato.

Componenti di terze parti

Se una vulnerabilità riguarda principalmente un componente di terze parti con un proprio CNA, coordiniamo con quel CNA ed evitiamo assegnazioni duplicate.

lock security desktop

NETGEAR si allinea agli standard del settore

La nostra politica e i nostri processi sono allineati con standard, framework e linee guida ampiamente riconosciuti:

Safe Harbor e ricerca in buona fede
Incoraggiamo i ricercatori di sicurezza a condividere le proprie scoperte e a segnalarcele senza timore di conseguenze legali. Se agisci in buona fede e rispetti questa policy, NETGEAR considererà tale ricerca come autorizzata e non avvierà azioni legali. Qualora un terzo dovesse avviare un'azione legale contro un ricercatore di sicurezza per attività condotte in conformità con questa policy, NETGEAR renderà nota tale autorizzazione.
La buona fede in questo contesto significa: evitare violazioni della privacy, distruzione di dati o interruzioni del servizio; non accedere, esfiltrare o conservare dati che non ti appartengono; non divulgare pubblicamente prima che NETGEAR abbia avuto una ragionevole opportunità di intervenire; non assistere i criminali informatici nello sfruttamento delle vulnerabilità a danno dei nostri clienti; interrompere i test se si incontrano dati degli utenti; rispettare la normativa applicabile.

ULTIMO AGGIORNAMENTO: DICEMBRE 2025

Si applica a tutto l'hardware, il firmware, il software, le app mobili, i servizi cloud e le proprietà web di NETGEAR e delle sue filiali, salvo diversa indicazione.