NETGEAR 产品安全
报告漏洞
NETGEAR 产品安全团队负责调查所有涉及 NETGEAR 产品和服务的安全漏洞报告。如果您是安全研究人员,并认为您发现了潜在的安全漏洞,请直接向 NETGEAR 产品安全团队报告您的发现。对于有效且符合条件的报告,我们将提供漏洞赏金奖励。
在报告中包含:
- 受影响的产品、型号、硬件、固件或软件版本
- 清晰的复现步骤/PoC,预期行为与实际行为的对比
- 安全影响或建议的严重性等级
- 您的联系方式,以及署名方式,或说明您是否希望保持匿名
有关更多信息,请参阅我们的 security.txt 文件。
漏洞处理与响应
我们的产品安全团队负责管理所有产品线的安全开发生命周期,包括安全问题的分类处理与披露。
您可以期待以下流程:
初步响应
报告将在3个美国工作日内得到确认。
初步分类将在5个美国工作日内完成。
问题解决进展更新
当修复方案就绪或 CVE 编号已分配时,研究人员将收到通知。
激励措施与公开表彰
符合条件的贡献者将获得漏洞赏金奖励和/或荣誉认可,并可根据要求在 CVE 记录中署名。
我们在所有沟通中遵循 FIRST TLP v2.0 标签规范。如未标注,我们将提交内容视为 TLP:AMBER 处理,可在必要时与我们的技术合作伙伴共享,仅用于开发或测试修复方案。
时间表与产品适用范围
需要立即处理的问题将触发我们的紧急事件响应预案,并尽快予以解决。其他情况下,我们将通过标准开发、质量保证及分阶段部署流程,为受支持产品制定修复方案。在特殊情况下,若修复工作依赖第三方或标准化组织,处理时间可能较长,届时将及时向报告方通报进展。
所有向我们提交的问题均会经过分类处理,以确定其是否适用于受支持产品。通常情况下,只有仍在支持期内的产品才会收到安全更新。
安全公告
安全公告发布于 NETGEAR 安全公告页面。公开披露经过协调安排,以最大程度保障用户安全。如研究人员有意愿,其姓名将在公告中获得致谢。
需要立即关注的问题的公告将尽快发布。其他所有问题将在每月安全补丁更新中统一发布,并列出已修复的漏洞。
安全港与善意研究
我们鼓励安全研究人员主动提交研究成果并向我们报告,无需担忧法律后果。如您出于善意并遵守本政策开展研究,NETGEAR将视该研究为已授权行为,且不会发起法律诉讼。若第三方因安全研究人员依据本政策开展的活动而对其提起法律诉讼,NETGEAR将公开声明该授权。
本政策中的"善意"是指:避免侵犯隐私、破坏数据或中断服务;不得访问、窃取或留存非属于您的数据;在NETGEAR获得合理修复机会之前,不得公开披露相关信息;不得协助网络犯罪分子利用漏洞攻击我们的客户;一旦发现用户数据,应立即停止测试;并遵守适用法律。
最后更新:2025年12月
除非另有说明,本政策适用于NETGEAR及其子公司的所有硬件、固件、软件、移动应用、云服务及网络资产。