Bezpieczeństwo produktów NETGEAR
Nasze zobowiazanie
W NETGEAR pracujemy nad bezpiecznym łączeniem ludzi z internetem poprzez bezpieczne praktyki projektowe, integralność łańcucha dostaw, proaktywne monitorowanie zagrożeń i innowacyjne funkcje bezpieczeństwa. Nasz zespół jest zaangażowany w solidny program bezpieczeństwa produktów, który zdobywa zaufanie klientów i dostosowuje się do zmieniającego się krajobrazu zagrożeń cybernetycznych.
Zgłoś podatność
Zespół ds. bezpieczeństwa produktów NETGEAR bada wszystkie zgłoszenia dotyczące podatności bezpieczeństwa wpływających na produkty i usługi NETGEAR. Jeśli jesteś badaczem bezpieczeństwa i uważasz, że odkryłeś potencjalną lukę bezpieczeństwa, zgłoś swoje ustalenia za pośrednictwem naszej
Uwzględnij w swoim raporcie:
- Produkty, modele, sprzęt, oprogramowanie układowe lub wersje oprogramowania, których dotyczy problem
- Jasne kroki reprodukcji/PoC, oczekiwane a rzeczywiste zachowanie
- Wpływ na bezpieczeństwo lub sugerowana ważność
- Twoje dane kontaktowe oraz informacja, jak Cię wymienić lub czy wolisz pozostać anonimowy
Więcej informacji znajdziesz w naszym pliku security.txt.
Obsługa i reagowanie na podatności
Nasz zespół ds. bezpieczeństwa produktów zarządza cyklem życia bezpiecznego rozwoju we wszystkich liniach produktów, w tym klasyfikacją i ujawnianiem problemów związanych z bezpieczeństwem.
Czego się spodziewać:
Wstępna odpowiedź
Zgłoszenia są potwierdzane w ciągu 3 dni roboczych w USA.
Wstępna klasyfikacja jest realizowana w ciągu 5 dni roboczych w USA.
Aktualizacje dotyczace rozwiazywania problemow
Badacze są informowani, gdy poprawka jest gotowa lub zostanie przypisane CVE.
Zachęty i publiczne uznanie
Uprawnieni współtwórcy otrzymują nagrodę Bug Bounty i/lub publiczne wyróżnienie oraz są wymieniani w rejestrze CVE na życzenie.
Przestrzegamy oznaczeń FIRST TLP v2.0 we wszystkich naszych komunikatach. W przypadku ich braku traktujemy zgłoszenia jako TLP: AMBER, które mogą być udostępniane naszym partnerom technologicznym na zasadzie need-to-know w celu opracowania lub testowania poprawek.
Priorytetyzacja i analiza
Priorytetyzujemy odpowiedź na problemy za pomocą metodologii Stakeholder-Specific Vulnerability Categorization (SSVC) i stosujemy Common Vulnerability Scoring System (CVSS) do oceny technicznej wagi problemów.
Harmonogram i kwalifikowalność produktów
Problemy wymagające natychmiastowej uwagi uruchamiają nasz awaryjny plan reagowania na incydenty i są rozwiązywane tak szybko, jak to praktycznie możliwe. W pozostałych przypadkach opracowujemy rozwiązania naprawcze i poprawki dla obsługiwanych produktów w ramach naszych standardowych cykli rozwoju, zapewniania jakości i etapowego wdrażania. W wyjątkowych sytuacjach usunięcie problemu może potrwać dłużej, jeśli zależy od stron trzecich lub organizacji normalizacyjnych. Zgłaszający są w takich przypadkach informowani o postępach.
Wszystkie zgłoszone do nas problemy są klasyfikowane pod kątem ich zastosowania do obsługiwanych produktów. Zasadniczo tylko produkty nadal objęte okresem wsparcia otrzymują aktualizacje zabezpieczeń.
Zalecenia bezpieczeństwa
Komunikaty bezpieczeństwa są publikowane na stronie komunikatów bezpieczeństwa NETGEAR. Publiczne ujawnienie jest koordynowane w celu maksymalizacji bezpieczeństwa użytkowników. Badacze są wymieniani w komunikatach, jeśli wyrażą takie życzenie.
Komunikaty dotyczące problemów wymagających natychmiastowej uwagi są publikowane tak szybko, jak to możliwe. Wszystkie pozostałe problemy są publikowane w comiesięcznej aktualizacji poprawek bezpieczeństwa zawierającej listę usuniętych podatności.
Partnerstwo programu z CVE
NETGEAR jest partnerem programu CVE (CNA) i jest upoważniony do przydzielania identyfikatorów CVE oraz publikowania rekordów CVE dotyczących luk we wszystkich produktach NETGEAR, produktach spółek zależnych oraz komponentach firm trzecich używanych w produktach NETGEAR, które nie są już objęte zakresem innej CNA.
Proces przypisania
Identyfikatory CVE i rekordy CVE są przydzielane i publikowane zgodnie z zasadami operacyjnymi CVE CNA. Nasze rekordy zawierają informacje CWE, CVSS i CPE, zgodne z naszymi celami zobowiązania CISA Secure by Design.
Starsze urzadzenia
Nasza zdolność do walidacji podatności w starszych lub niewspieranych urządzeniach jest ograniczona. Aby pomóc klientom zrozumieć ryzyko, przypisujemy identyfikatory CVE do problemów dotyczących tych urządzeń, gdy dostarczone są wiarygodne dowody na istnienie podatności i jej wpływ.
Komponenty firm trzecich
Jeśli podatność dotyczy głównie komponentu firmy trzeciej z własnym CNA, koordynujemy działania z tym CNA i unikamy przydzielania duplikatów.
NETGEAR zgodny ze standardami branżowymi
Nasze zasady i procesy sa zgodne z powszechnie uznanymi standardami, ramami i wytycznymi:
- ISO/IEC 29147:2018 (publiczne ujawnianie podatnosci) i ISO/IEC 30111:2019 (obsluga podatnosci).
- Ramy bezpiecznego rozwoju oprogramowania NIST
- Akt o cyberodporności (CRA, Rozporzadzenie (UE) 2024/2847)
- Struktura uslug FIRST PSIRT
- CISA Secure by Design principles
Safe Harbor i badania w dobrej wierze
Zachęcamy badaczy bezpieczeństwa do zgłaszania swoich odkryć bez obawy o konsekwencje prawne. Jeśli działasz w dobrej wierze i przestrzegasz tej polityki, NETGEAR uzna takie badania za autoryzowane i nie podejmie kroków prawnych. Jeśli strona trzecia rozpocznie działania prawne przeciwko badaczowi bezpieczeństwa za działania prowadzone zgodnie z niniejszą polityką, NETGEAR poinformuje o udzielonej autoryzacji.
Dobra wiara w tym kontekście oznacza: unikanie naruszeń prywatności, niszczenia danych lub zakłócania działania usług; nieuzyskiwanie dostępu, niepozyskiwanie ani nieprzechowywanie danych, które nie należą do Ciebie; nieujawnianie informacji publicznie przed upływem rozsądnego czasu na wprowadzenie poprawek przez NETGEAR; niepomaganie cyberprzestępcom w wykorzystywaniu luk przeciwko naszym klientom; zaprzestanie testów po napotkaniu danych użytkownika; przestrzeganie obowiązującego prawa.
OSTATNIA AKTUALIZACJA: GRUDZIEŃ 2025
Dotyczy całego sprzętu, oprogramowania układowego, oprogramowania, aplikacji mobilnych, usług w chmurze i właściwości internetowych NETGEAR i spółek zależnych, o ile nie określono inaczej.