Bezpieczenstwo produktow NETGEAR

commitment desktop

Nasze zobowiazanie

W NETGEAR pracujemy nad bezpiecznym łączeniem ludzi z Internetem poprzez bezpieczne praktyki projektowe, integralność łańcucha dostaw, proaktywne monitorowanie zagrożeń i innowacyjne funkcje bezpieczeństwa. Nasz zespół jest zaangażowany w solidny program bezpieczeństwa produktów, który zdobywa zaufanie klientów i dostosowuje się do zmieniającego się krajobrazu zagrożeń cybernetycznych.

Zglos podatnosc

Zespół ds. bezpieczeństwa produktów NETGEAR bada wszystkie zgłoszenia dotyczące podatności bezpieczeństwa wpływających na produkty i usługi NETGEAR. Jeśli jesteś badaczem bezpieczeństwa i uważasz, że odkryłeś potencjalną lukę bezpieczeństwa, zgłoś swoje ustalenia bezpośrednio do zespołu ds. bezpieczeństwa produktów NETGEAR. Za prawidłowe i kwalifikujące się zgłoszenia przyznawane są nagrody Bug Bounty.

Uwzglednij w swoim raporcie:

  • Produkty, modele, sprzęt, oprogramowanie układowe lub wersje oprogramowania, których dotyczy problem
  • Jasne kroki reprodukcji/PoC, oczekiwane a rzeczywiste zachowanie
  • Wpływ na bezpieczeństwo lub sugerowana ważność
  • Twoje dane kontaktowe oraz informacja, jak Cię wymienić lub czy wolisz pozostać anonimowy

Więcej informacji znajdziesz w naszym pliku security.txt.


Obsluga i reagowanie na podatnosci

Nasz zespół ds. bezpieczeństwa produktów zarządza cyklem życia bezpiecznego rozwoju we wszystkich liniach produktów, w tym klasyfikacją i ujawnianiem problemów bezpieczeństwa.

Czego się spodziewać:

Wstępna odpowiedź

Zgłoszenia są potwierdzane w ciągu 3 dni roboczych w USA.
Wstępna klasyfikacja jest realizowana w ciągu 5 dni roboczych w USA.

Aktualizacje dotyczace rozwiazywania problemow

Badacze są informowani, gdy poprawka jest gotowa lub zostanie przypisane CVE.

Zachęty i publiczne uznanie

Uprawnieni współtwórcy otrzymują nagrodę Bug Bounty i/lub publiczne wyróżnienie oraz są wymieniani w rejestrze CVE na życzenie.


Przestrzegamy oznaczeń FIRST TLP v2.0 we wszystkich naszych komunikatach. W przypadku ich braku traktujemy zgłoszenia jako TLP: AMBER, które mogą być udostępniane naszym partnerom technologicznym na zasadzie need-to-know w celu opracowania lub testowania poprawek.


CVSS desktop

Priorytetyzacja i analiza

Priorytetyzujemy odpowiedź na problemy za pomocą metodologii Stakeholder-Specific Vulnerability Categorization (SSVC)  i stosujemy Common Vulnerability Scoring System (CVSS) do oceny technicznej wagi problemów.

Oś czasu i kwalifikowalność produktów
Problemy wymagające natychmiastowej uwagi uruchamiają nasz plan reagowania na incydenty awaryjne i są rozwiązywane tak szybko, jak to praktycznie możliwe. W przeciwnym razie opracowujemy poprawki i rozwiązania dla obsługiwanych produktów w ramach naszych standardowych cykli rozwoju, zapewniania jakości i etapowego wdrażania. W wyjątkowych przypadkach naprawa może trwać dłużej, gdy zależy od stron trzecich lub organizacji normalizacyjnych. Zgłaszający są informowani w takich przypadkach.
Wszystkie zgłoszone problemy są oceniane pod kątem ich zastosowania do obsługiwanych produktów. Zasadniczo tylko produkty nadal objęte okresem wsparcia otrzymują aktualizacje zabezpieczeń.

Security Advisories

Komunikaty bezpieczeństwa są publikowane na stronie NETGEAR Security Advisories. Publiczne ujawnienie jest koordynowane w celu maksymalizacji bezpieczeństwa użytkowników. Badacze są wymieniani w komunikatach, jeśli wyrażą takie życzenie.
Komunikaty dotyczące problemów wymagających natychmiastowej uwagi są publikowane tak szybko, jak to możliwe. Wszystkie pozostałe problemy są publikowane w comiesięcznej aktualizacji poprawek bezpieczeństwa zawierającej listę usuniętych podatności.

Partnerstwo programu z CVE

NETGEAR jest CVE Program Partner (CNA) i jest upoważniony do przydzielania identyfikatorów CVE oraz publikowania rekordów CVE dotyczących luk we wszystkich produktach NETGEAR, produktach spółek zależnych oraz komponentach firm trzecich używanych w produktach NETGEAR, które nie są już objęte zakresem innej CNA.

Proces przypisania

Identyfikatory CVE i rekordy CVE są przydzielane i publikowane zgodnie z zasadami operacyjnymi CVE CNA. Nasze rekordy zawierają informacje CWE, CVSS i CPE, zgodne z naszymi celami zobowiązania CISA Secure by Design Pledge.

Starsze urzadzenia

Ponieważ nasza zdolność do weryfikacji podatności w starszych lub niewspieranych urządzeniach jest ograniczona, polegamy na wiarygodnych zewnętrznych dowodach. Gdy takie dowody wskazują na podatność i jej wpływ, przypisujemy identyfikator CVE, aby pomóc klientom zrozumieć i zarządzać związanym z nią ryzykiem.

Komponenty firm trzecich

Jeśli podatność dotyczy głównie komponentu firmy trzeciej z własnym CNA, koordynujemy działania z tym CNA i unikamy zduplikowanych przydziałów.

lock security desktop

NETGEAR zgodny ze standardami branżowymi

Nasze zasady i procesy są zgodne z powszechnie uznanymi standardami, ramami i wytycznymi:

Safe Harbor i badania w dobrej wierze
Zachęcamy badaczy zajmujących się bezpieczeństwem do zgłaszania nam swoich ustaleń bez obawy przed konsekwencjami prawnymi. Jeśli działasz w dobrej wierze i przestrzegasz niniejszej polityki, NETGEAR uzna te badania za autoryzowane i nie podejmie kroków prawnych. Jeśli strona trzecia podejmie kroki prawne przeciwko badaczowi bezpieczeństwa za działania prowadzone zgodnie z tą polityką, NETGEAR poinformuje o udzielonej autoryzacji.
Dobra wiara w tym kontekście oznacza: unikanie naruszeń prywatności, niszczenia danych lub zakłóceń działania usług; nieuzyskiwanie dostępu do danych, ich wyprowadzania ani przechowywania, jeśli nie są twoje; nieujawnianie informacji publicznie przed upływem rozsądnego czasu na wprowadzenie poprawek przez NETGEAR; nieudzielanie pomocy cyberprzestępcom w wykorzystywaniu luk wobec naszych klientów; przerwanie testów, jeśli napotkasz dane użytkownika; przestrzeganie obowiązującego prawa.

OSTATNIA AKTUALIZACJA: GRUDZIEŃ 2025

Dotyczy całego sprzętu, oprogramowania układowego, oprogramowania, aplikacji mobilnych, usług w chmurze i właściwości internetowych NETGEAR oraz spółek zależnych, o ile nie określono inaczej.