NETGEAR 产品安全

commitment desktop

我们的承诺

在 NETGEAR,我们致力于通过安全设计实践、供应链完整性、主动威胁监控以及创新安全功能,帮助用户安全地连接互联网。我们的团队致力于推行强有力的产品安全计划,以赢得客户信任,并适应不断演变的网络威胁态势。

报告漏洞

NETGEAR 产品安全团队负责调查所有涉及 NETGEAR 产品和服务的安全漏洞报告。如果您是安全研究人员,并认为您发现了潜在的安全漏洞,请直接向 NETGEAR 产品安全团队报告您的发现。对于有效且符合条件的报告,我们将提供漏洞赏金奖励。

发送电子邮件给我们

在报告中包含:

  • 受影响的产品、型号、硬件、固件或软件版本
  • 清晰的复现步骤/PoC,预期行为与实际行为的对比
  • 安全影响或建议的严重性等级
  • 您的联系方式,以及署名方式,或说明您是否希望保持匿名

有关更多信息,请参阅我们的 security.txt 文件。


漏洞处理与响应

我们的产品安全团队负责管理所有产品线的安全开发生命周期,包括安全问题的分类处理与披露。

您可以期待以下流程:

初步响应

报告将在3个美国工作日内得到确认。
初步分类将在5个美国工作日内完成。

问题解决进展更新

当修复方案就绪或 CVE 编号已分配时,研究人员将收到通知。

激励措施与公开表彰

符合条件的贡献者将获得漏洞赏金奖励和/或荣誉认可,并可根据要求在 CVE 记录中署名。


我们在所有沟通中遵循 FIRST TLP v2.0 标签规范。如未标注,我们将提交内容视为 TLP:AMBER 处理,可在必要时与我们的技术合作伙伴共享,仅用于开发或测试修复方案。


CVSS desktop

优先级排序与分析

我们采用利益相关方特定漏洞分类(SSVC)方法对问题响应进行优先级排序,并运用通用漏洞评分系统(CVSS)评估问题的技术严重性。

时间表与产品适用范围
需要立即处理的问题将触发我们的紧急事件响应预案,并尽快予以解决。其他情况下,我们将通过标准开发、质量保证及分阶段部署流程,为受支持产品制定修复方案。在特殊情况下,若修复工作依赖第三方或标准化组织,处理时间可能较长,届时将及时向报告方通报进展。
所有向我们提交的问题均会经过分类处理,以确定其是否适用于受支持产品。通常情况下,只有仍在支持期内的产品才会收到安全更新。

安全公告

安全公告发布于 NETGEAR 安全公告页面。公开披露经过协调安排,以最大程度保障用户安全。如研究人员有意愿,其姓名将在公告中获得致谢。
需要立即关注的问题的公告将尽快发布。其他所有问题将在每月安全补丁更新中统一发布,并列出已修复的漏洞。

查看安全公告

CVE 计划合作伙伴关系

NETGEAR 是

分配流程

CVE ID 及 CVE 记录的分配与发布均遵循 CVE CNA 操作规则。我们的记录包含 CWE、CVSS 和 CPE 信息,与我们的 CISA 安全设计承诺目标保持一致。

旧设备

由于我们对旧版或不受支持设备中漏洞的验证能力有限,我们依赖可信的外部证据。当此类证据能够证明漏洞的存在及其影响时,我们将分配 CVE ID,以帮助客户了解并管理相关风险。

第三方组件

如果某漏洞主要影响拥有独立CNA的第三方组件,我们将与该CNA协调处理,避免重复分配。

lock security desktop

NETGEAR符合行业标准

我们的政策和流程与广泛认可的标准、框架及指南保持一致:

安全港与善意研究
我们鼓励安全研究人员主动提交研究成果并向我们报告,无需担忧法律后果。如您出于善意并遵守本政策开展研究,NETGEAR将视该研究为已授权行为,且不会发起法律诉讼。若第三方因安全研究人员依据本政策开展的活动而对其提起法律诉讼,NETGEAR将公开声明该授权。
本政策中的"善意"是指:避免侵犯隐私、破坏数据或中断服务;不得访问、窃取或留存非属于您的数据;在NETGEAR获得合理修复机会之前,不得公开披露相关信息;不得协助网络犯罪分子利用漏洞攻击我们的客户;一旦发现用户数据,应立即停止测试;并遵守适用法律。

最后更新:2025年12月

除非另有说明,本政策适用于NETGEAR及其子公司的所有硬件、固件、软件、移动应用、云服务及网络资产。