NETGEAR產品安全
回報漏洞
NETGEAR的產品安全團隊會調查所有影響NETGEAR產品和服務的安全漏洞報告。如果你是安全研究人員,並相信自己發現了潛在的安全漏洞,請直接向NETGEAR產品安全團隊提交你的發現。對於有效且符合資格的報告,我們會提供錯誤賞金獎勵。
請在報告中包含以下資料:
- 受影響的產品、型號、硬體、韌體或軟體版本
- 清晰的重現步驟/概念驗證(PoC)、預期行為與實際行為
- 安全影響或建議的嚴重程度
- 你的聯絡資料,以及希望如何署名,或如你希望保持匿名亦請註明
如需更多資訊,請參閱我們的security.txt檔案。
漏洞處理及回應
我們的產品安全團隊負責管理所有產品線的安全開發生命週期,包括安全問題的分類處理及披露。
你可預期的流程:
初步回應
我們會在3個美國工作天內確認收到報告。
初步分類會在5個美國工作天內完成。
問題解決更新
當修補方案已準備就緒或已分配CVE時,我們會通知研究人員。
獎勵及公開表揚
符合資格的貢獻者可獲發錯誤懸賞獎金及/或表揚,並可按要求在CVE紀錄中列名。
我們在所有通訊中遵守FIRST TLP v2.0標籤。如未有標示,我們會將提交內容視為TLP: AMBER,可在「需要知道」的基礎上與技術合作夥伴共享,用於開發或測試修補方案。
時間表及產品適用範圍
凡是需要即時處理的問題,均會觸發我們的緊急事故應變計劃,並在切實可行的情況下盡快處理。其他情況下,我們會透過標準的開發、品質保證及分階段部署週期,為受支援產品制定修正及修補方案。如屬特殊情況,而補救措施需依賴第三方或標準組織,所需時間可能會較長;在這些情況下,我們會持續向回報人提供最新進度。
所有向我們回報的問題,均會先進行分類,以判斷是否適用於受支援產品。一般而言,只有仍在支援期內的產品才會收到安全更新。
安全通報
安全通報會發佈於NETGEAR Security Advisories頁面。公開披露會經過協調,以盡量保障用戶安全。如研究人員有意願,會在通報中列出其姓名。
對於需要即時處理的問題,相關通報會在切實可行的情況下盡快發佈。其他問題則會集中於每月的安全修補更新中發佈,列出已處理的漏洞。
安全港及善意研究
我們鼓勵安全研究人員主動提交其研究結果,並向我們回報,而毋須擔心法律後果。只要你出於善意並遵守本政策,NETGEAR會視乎該等研究為獲授權行為,並不會採取法律行動。如有第三方向依照本政策行事的安全研究人員提起法律訴訟,NETGEAR會表明已就相關研究授權。
在此背景下,「善意」包括:避免侵犯私隱、破壞數據或干擾服務;不得存取、導出或保留不屬於你的數據;在NETGEAR有合理時間修補前不得公開披露;不得協助網絡罪犯利用相關漏洞攻擊我們的客戶;如在測試過程中接觸到用戶數據,必須立即停止測試;並須遵守適用法律。
最後更新日期:2025年12月
除非另有說明,適用於NETGEAR及其子公司所有硬件、韌體、軟件、流動應用程式、雲端服務及網頁資產。