NETGEAR產品安全

commitment desktop

我們的承諾

在NETGEAR,我們透過安全設計實務、供應鏈完整性、主動威脅監控及創新安全功能,致力為大眾提供安全的上網連線。我們的團隊專注建立強大的產品安全計劃,以贏取客戶信任,並持續因應不斷演變的網絡威脅環境。

回報漏洞

NETGEAR的產品安全團隊會調查所有影響NETGEAR產品和服務的安全漏洞報告。如果你是安全研究人員,並相信自己發現了潛在的安全漏洞,請直接向NETGEAR產品安全團隊提交你的發現。對於有效且符合資格的報告,我們會提供錯誤賞金獎勵。

請發送電子郵件給我們

請在報告中包含以下資料:

  • 受影響的產品、型號、硬體、韌體或軟體版本
  • 清晰的重現步驟/概念驗證(PoC)、預期行為與實際行為
  • 安全影響或建議的嚴重程度
  • 你的聯絡資料,以及希望如何署名,或如你希望保持匿名亦請註明

如需更多資訊,請參閱我們的security.txt檔案。


漏洞處理及回應

我們的產品安全團隊負責管理所有產品線的安全開發生命週期,包括安全問題的分類處理及披露。

你可預期的流程:

初步回應

我們會在3個美國工作天內確認收到報告。
初步分類會在5個美國工作天內完成。

問題解決更新

當修補方案已準備就緒或已分配CVE時,我們會通知研究人員。

獎勵及公開表揚

符合資格的貢獻者可獲發錯誤懸賞獎金及/或表揚,並可按要求在CVE紀錄中列名。


我們在所有通訊中遵守FIRST TLP v2.0標籤。如未有標示,我們會將提交內容視為TLP: AMBER,可在「需要知道」的基礎上與技術合作夥伴共享,用於開發或測試修補方案。


CVSS desktop

優先級及分析

我們會使用Stakeholder-Specific Vulnerability Categorization (SSVC)方法為各項問題的回應訂立優先次序,並採用Common Vulnerability Scoring System (CVSS)評估問題的技術嚴重程度。

時間表及產品適用範圍
凡是需要即時處理的問題,均會觸發我們的緊急事故應變計劃,並在切實可行的情況下盡快處理。其他情況下,我們會透過標準的開發、品質保證及分階段部署週期,為受支援產品制定修正及修補方案。如屬特殊情況,而補救措施需依賴第三方或標準組織,所需時間可能會較長;在這些情況下,我們會持續向回報人提供最新進度。
所有向我們回報的問題,均會先進行分類,以判斷是否適用於受支援產品。一般而言,只有仍在支援期內的產品才會收到安全更新。

安全通報

安全通報會發佈於NETGEAR Security Advisories頁面。公開披露會經過協調,以盡量保障用戶安全。如研究人員有意願,會在通報中列出其姓名。
對於需要即時處理的問題,相關通報會在切實可行的情況下盡快發佈。其他問題則會集中於每月的安全修補更新中發佈,列出已處理的漏洞。

瀏覽安全通報

與CVE的計劃合作夥伴關係

NETGEAR是

分配程序

我們會按照CVE CNA營運規則分配及發佈CVE ID和CVE紀錄。我們的紀錄會包含CWE、CVSS及CPE等資料,並與我們在CISA安全設計承諾中的目標保持一致。

舊款設備

由於我們在驗證舊型或已停止支援裝置上的漏洞能力有限,因此會依賴可信的外部證據。當相關證據顯示存在漏洞及其影響時,我們會分配CVE ID,協助客戶了解及管理相關風險。

第三方組件

如果某個漏洞主要影響擁有自家CNA的第三方組件,我們會與該CNA協調,並避免重複分配。

lock security desktop

NETGEAR與業界標準保持一致

我們的政策及流程與廣泛認可的標準、框架及指引保持一致:

安全港及善意研究
我們鼓勵安全研究人員主動提交其研究結果,並向我們回報,而毋須擔心法律後果。只要你出於善意並遵守本政策,NETGEAR會視乎該等研究為獲授權行為,並不會採取法律行動。如有第三方向依照本政策行事的安全研究人員提起法律訴訟,NETGEAR會表明已就相關研究授權。
在此背景下,「善意」包括:避免侵犯私隱、破壞數據或干擾服務;不得存取、導出或保留不屬於你的數據;在NETGEAR有合理時間修補前不得公開披露;不得協助網絡罪犯利用相關漏洞攻擊我們的客戶;如在測試過程中接觸到用戶數據,必須立即停止測試;並須遵守適用法律。

最後更新日期:2025年12月

除非另有說明,適用於NETGEAR及其子公司所有硬件、韌體、軟件、流動應用程式、雲端服務及網頁資產。