Bezpieczenstwo produktow NETGEAR
Zglos podatnosc
Zespół ds. bezpieczeństwa produktów NETGEAR bada wszystkie zgłoszenia dotyczące podatności bezpieczeństwa wpływających na produkty i usługi NETGEAR. Jeśli jesteś badaczem bezpieczeństwa i uważasz, że odkryłeś potencjalną lukę bezpieczeństwa, zgłoś swoje ustalenia bezpośrednio do zespołu ds. bezpieczeństwa produktów NETGEAR. Za prawidłowe i kwalifikujące się zgłoszenia przyznawane są nagrody Bug Bounty.
Uwzglednij w swoim raporcie:
- Produkty, modele, sprzęt, oprogramowanie układowe lub wersje oprogramowania, których dotyczy problem
- Jasne kroki reprodukcji/PoC, oczekiwane a rzeczywiste zachowanie
- Wpływ na bezpieczeństwo lub sugerowana ważność
- Twoje dane kontaktowe oraz informacja, jak Cię wymienić lub czy wolisz pozostać anonimowy
Więcej informacji znajdziesz w naszym pliku security.txt.
Obsluga i reagowanie na podatnosci
Nasz zespół ds. bezpieczeństwa produktów zarządza cyklem życia bezpiecznego rozwoju we wszystkich liniach produktów, w tym klasyfikacją i ujawnianiem problemów bezpieczeństwa.
Czego się spodziewać:
Wstępna odpowiedź
Zgłoszenia są potwierdzane w ciągu 3 dni roboczych w USA.
Wstępna klasyfikacja jest realizowana w ciągu 5 dni roboczych w USA.
Aktualizacje dotyczace rozwiazywania problemow
Badacze są informowani, gdy poprawka jest gotowa lub zostanie przypisane CVE.
Zachęty i publiczne uznanie
Uprawnieni współtwórcy otrzymują nagrodę Bug Bounty i/lub publiczne wyróżnienie oraz są wymieniani w rejestrze CVE na życzenie.
Przestrzegamy oznaczeń FIRST TLP v2.0 we wszystkich naszych komunikatach. W przypadku ich braku traktujemy zgłoszenia jako TLP: AMBER, które mogą być udostępniane naszym partnerom technologicznym na zasadzie need-to-know w celu opracowania lub testowania poprawek.
Oś czasu i kwalifikowalność produktów
Problemy wymagające natychmiastowej uwagi uruchamiają nasz plan reagowania na incydenty awaryjne i są rozwiązywane tak szybko, jak to praktycznie możliwe. W przeciwnym razie opracowujemy poprawki i rozwiązania dla obsługiwanych produktów w ramach naszych standardowych cykli rozwoju, zapewniania jakości i etapowego wdrażania. W wyjątkowych przypadkach naprawa może trwać dłużej, gdy zależy od stron trzecich lub organizacji normalizacyjnych. Zgłaszający są informowani w takich przypadkach.
Wszystkie zgłoszone problemy są oceniane pod kątem ich zastosowania do obsługiwanych produktów. Zasadniczo tylko produkty nadal objęte okresem wsparcia otrzymują aktualizacje zabezpieczeń.
Security Advisories
Komunikaty bezpieczeństwa są publikowane na stronie NETGEAR Security Advisories. Publiczne ujawnienie jest koordynowane w celu maksymalizacji bezpieczeństwa użytkowników. Badacze są wymieniani w komunikatach, jeśli wyrażą takie życzenie.
Komunikaty dotyczące problemów wymagających natychmiastowej uwagi są publikowane tak szybko, jak to możliwe. Wszystkie pozostałe problemy są publikowane w comiesięcznej aktualizacji poprawek bezpieczeństwa zawierającej listę usuniętych podatności.
Partnerstwo programu z CVE
NETGEAR jest CVE Program Partner (CNA) i jest upoważniony do przydzielania identyfikatorów CVE oraz publikowania rekordów CVE dotyczących luk we wszystkich produktach NETGEAR, produktach spółek zależnych oraz komponentach firm trzecich używanych w produktach NETGEAR, które nie są już objęte zakresem innej CNA.
Proces przypisania
Identyfikatory CVE i rekordy CVE są przydzielane i publikowane zgodnie z zasadami operacyjnymi CVE CNA. Nasze rekordy zawierają informacje CWE, CVSS i CPE, zgodne z naszymi celami zobowiązania CISA Secure by Design Pledge.
Starsze urzadzenia
Ponieważ nasza zdolność do weryfikacji podatności w starszych lub niewspieranych urządzeniach jest ograniczona, polegamy na wiarygodnych zewnętrznych dowodach. Gdy takie dowody wskazują na podatność i jej wpływ, przypisujemy identyfikator CVE, aby pomóc klientom zrozumieć i zarządzać związanym z nią ryzykiem.
Komponenty firm trzecich
Jeśli podatność dotyczy głównie komponentu firmy trzeciej z własnym CNA, koordynujemy działania z tym CNA i unikamy zduplikowanych przydziałów.
Safe Harbor i badania w dobrej wierze
Zachęcamy badaczy zajmujących się bezpieczeństwem do zgłaszania nam swoich ustaleń bez obawy przed konsekwencjami prawnymi. Jeśli działasz w dobrej wierze i przestrzegasz niniejszej polityki, NETGEAR uzna te badania za autoryzowane i nie podejmie kroków prawnych. Jeśli strona trzecia podejmie kroki prawne przeciwko badaczowi bezpieczeństwa za działania prowadzone zgodnie z tą polityką, NETGEAR poinformuje o udzielonej autoryzacji.
Dobra wiara w tym kontekście oznacza: unikanie naruszeń prywatności, niszczenia danych lub zakłóceń działania usług; nieuzyskiwanie dostępu do danych, ich wyprowadzania ani przechowywania, jeśli nie są twoje; nieujawnianie informacji publicznie przed upływem rozsądnego czasu na wprowadzenie poprawek przez NETGEAR; nieudzielanie pomocy cyberprzestępcom w wykorzystywaniu luk wobec naszych klientów; przerwanie testów, jeśli napotkasz dane użytkownika; przestrzeganie obowiązującego prawa.
OSTATNIA AKTUALIZACJA: GRUDZIEŃ 2025
Dotyczy całego sprzętu, oprogramowania układowego, oprogramowania, aplikacji mobilnych, usług w chmurze i właściwości internetowych NETGEAR oraz spółek zależnych, o ile nie określono inaczej.