NETGEAR Produktsicherheit
Unser Engagement
Bei NETGEAR arbeite ich daran, Menschen durch sichere Designpraktiken, Integrität der Lieferkette, proaktive Bedrohungsüberwachung und innovative Sicherheitsfunktionen sicher mit dem Internet zu verbinden. Mein Team engagiert sich für ein starkes Produktsicherheitsprogramm, das das Vertrauen der Kunden gewinnt und sich an die sich ständig weiterentwickelnde Bedrohungslandschaft im Cyberraum anpasst.
Schwachstelle melden
NETGEAR's Product Security Team investigates all reports of security vulnerabilities affecting NETGEAR products and services. If you are a security researcher and believe you have discovered a potential security, report your findings through our Bug Bounty Platform.
Researchers who do not wish to participate in the bounty program can still submit their findings through our Kudos Rewards Program or by emailing our Product Security Team at security@netgear.com.
In den Bericht aufnehmen:
- Betroffene Produkte, Modelle, Hardware, Firmware oder Softwareversionen
- Eindeutige Reproduktionsschritte/PoC, erwartetes vs. tatsächliches Verhalten
- Sicherheitsauswirkung oder vorgeschlagene Schweregradstufe
- Ihre Kontaktdaten und wie wir Sie nennen sollen oder ob Sie anonym bleiben möchten
For more information, see our security.txt file.
Umgang mit Sicherheitslücken und Reaktion
Mein Product Security Team verwaltet den sicheren Entwicklungslebenszyklus für alle Produktlinien, einschließlich der Priorisierung und Offenlegung von Sicherheitsproblemen.
Was dich erwartet:
Erste Reaktion
Meldungen werden innerhalb von 3 US‑Werktagen bestätigt.
Die erste Einstufung wird innerhalb von 5 US‑Werktagen abgeschlossen.
Aktualisierungen zur Problemlösung
Forschende werden informiert, wenn eine Behebung bereit ist oder eine CVE vergeben wurde.
Anreize und öffentliche Anerkennung
Qualifizierte Beitragende erhalten eine Bug-Bounty-Prämie und/oder eine Erwähnung als Anerkennung und werden auf Wunsch im CVE-Eintrag genannt.
Ich verwende in allen meinen Mitteilungen die Kennzeichnungen der FIRST TLP v2.0. Wenn keine Kennzeichnung vorhanden ist, behandle ich Meldungen als TLP:AMBER, die bei Bedarf mit meinen Technologiepartnern geteilt werden dürfen, um Korrekturen zu entwickeln oder zu testen.
Priorisierung und Analyse
We prioritize the response to issues using the Stakeholder-Specific Vulnerability Categorization (SSVC) methodology and employ the Common Vulnerability Scoring System (CVSS) to assess the technical severity of the issues.
Zeitleiste und Produktberechtigung
Probleme, die sofortige Aufmerksamkeit erfordern, lösen unseren Notfallreaktionsplan für Vorfälle aus und werden so schnell wie praktisch möglich bearbeitet. In allen anderen Fällen entwickeln wir Abhilfemaßnahmen und Korrekturen für unterstützte Produkte im Rahmen unserer regulären Entwicklungs‑, Qualitätssicherungs‑ und gestuften Bereitstellungszyklen. In Ausnahmefällen kann die Behebung länger dauern, wenn sie von Drittparteien oder Normungsorganisationen abhängt. In solchen Fällen werden die Meldenden auf dem Laufenden gehalten.
Alle bei uns eingehenden Meldungen werden geprüft, um ihre Relevanz für unterstützte Produkte zu bestimmen. In der Regel erhalten nur Produkte, die sich noch innerhalb ihres Supportzeitraums befinden, Sicherheitsupdates.
Security Advisories
Security Advisories are published on the NETGEAR Security Advisories page. Public disclosure is coordinated to maximize user safety. Researchers are credited on advisories if they wish.
Advisories for issues that require immediate attention are published as soon as reasonably possible. All other issues are published in a monthly security patch update that lists the addressed vulnerabilities.
Programmpartnerschaft mit CVE
NETGEAR is a CVE Program Partner (CNA) and is authorized to assign CVE IDs andpublish CVE Records for vulnerabilities in all NETGEAR products, subsidiaries’ products, and third-party components used in NETGEAR products that are not alreadycovered by another CNA’s scope.
Zuweisungsprozess
Ältere Geräte
Komponenten von Drittanbietern
Wenn eine Schwachstelle hauptsächlich eine Drittanbieterkomponente mit eigener CNA betrifft, stimmen wir uns mit dieser CNA ab und vermeiden doppelte Vergaben.
NETGEAR orientiert sich an Industriestandards
Meine Richtlinien und Prozesse stimmen mit anerkannten Standards, Frameworks und Richtlinien überein:
- ISO/IEC 29147:2018 (public vulnerability disclosure) and ISO/IEC 30111:2019 (vulnerability handling).
- NIST Secure Software Development Framework
- Cyber Resilience Act (CRA, Regulation (EU) 2024/2847)
- FIRST PSIRT Services Framework
- CISA Secure by Design principles
Safe-Harbor und Gutglaubensforschung
Ich ermutige Sicherheitsforschende, ihre Erkenntnisse offenzulegen und uns zu melden, ohne Angst vor rechtlichen Konsequenzen haben zu müssen. Wenn du in gutem Glauben handelst und diese Richtlinie befolgst, betrachtet NETGEAR deine Forschung als autorisiert und wird keine rechtlichen Schritte einleiten. Sollte ein Dritter rechtliche Schritte gegen eine Sicherheitsforscherin oder einen Sicherheitsforscher einleiten, weil Aktivitäten im Einklang mit dieser Richtlinie durchgeführt wurden, wird NETGEAR diese Autorisierung bekannt machen.
Guter Glaube bedeutet in diesem Zusammenhang Folgendes: Verletzungen der Privatsphäre, Datenvernichtung oder Dienstunterbrechungen vermeiden; keine Daten aufrufen, exfiltrieren oder speichern, die nicht dir gehören; keine Veröffentlichung vornehmen, bevor NETGEAR eine angemessene Gelegenheit hatte, das Problem zu beheben; Cyberkriminellen nicht dabei helfen, Schwachstellen gegen unsere Kundschaft auszunutzen; die Tests beenden, wenn du auf Nutzerdaten stößt; geltendes Recht einhalten.
LETZTE AKTUALISIERUNG: DEZEMBER 2025
Gilt für alle Hardware-, Firmware- und Softwareprodukte, mobilen Apps, Cloud-Dienste und Webangebote von NETGEAR und seinen Tochtergesellschaften, sofern nicht anders angegeben.