NETGEAR 제품 보안
취약점 신고
NETGEAR의 제품 보안 팀은 NETGEAR 제품 및 서비스에 영향을 미치는 모든 보안 취약성 보고를 조사합니다. 귀하가 보안 연구원이며 잠재적인 보안 취약점을 발견했다고 생각되면, 해당 내용을 NETGEAR 제품 보안 팀에 직접 보고해 주시기 바랍니다. 유효하며 자격을 충족하는 보고에는 버그 바운티 보상이 제공됩니다.
보고서에 포함해 주십시오:
- 영향을 받는 제품, 모델, 하드웨어, 펌웨어 또는 소프트웨어 버전
- 명확한 재현 단계/PoC, 기대 동작과 실제 동작 비교
- 보안 영향 또는 제안하는 심각도
- 연락처 정보와, 이름을 어떻게 표기하기 원하는지 또는 익명을 선호하는지 여부
자세한 내용은 security.txt 파일을 참조하십시오.
취약점 처리 및 대응
당사의 제품 보안 팀은 모든 제품 라인에 걸쳐 보안 개발 수명 주기를 관리하며, 보안 문제의 분류 및 공개를 포함합니다.
What to expect:
초기 대응
보고서는 미국 기준 영업일 3일 이내에 접수 확인을 드립니다.
초기 분류는 미국 기준 영업일 5일 이내에 완료됩니다.
문제 해결 업데이트
수정 사항이 준비되었거나 CVE가 할당되면 연구원에게 안내합니다.
인센티브 및 공개 인정
자격을 갖춘 기여자는 버그 바운티 보상 및/또는 감사 인정을 받을 수 있으며, 요청 시 CVE 레코드에 이름이 언급됩니다.
당사는 모든 커뮤니케이션에서 FIRST TLP v2.0 라벨을 준수합니다. 라벨이 없는 경우, 제출된 내용은 TLP: AMBER로 간주되며, 수정 사항을 개발하거나 테스트해야 할 필요가 있는 기술 파트너에게 한해 필요 최소한의 범위에서 공유될 수 있습니다.
타임라인 및 제품 적격성
즉각적인 주의가 필요한 문제는 비상 사고 대응 계획을 가동하여 실질적으로 가능한 한 신속하게 처리합니다. 그 외의 경우에는 표준 개발, 품질 보증, 단계적 배포 주기를 통해 지원 대상 제품에 대한 수정 및 해결책을 개발합니다. 예외적으로, 제삼자나 표준화 기구에 의존하는 경우에는 해결에 더 오랜 시간이 걸릴 수 있으며, 이러한 경우 제보자에게 진행 상황을 안내합니다.
당사에 보고된 모든 문제는 지원 대상 제품에 적용 가능한지 여부를 판단하기 위해 분류됩니다. 일반적으로 지원 기간이 남아 있는 제품만 보안 업데이트를 받게 됩니다.
Security Advisories
Security Advisories는 NETGEAR Security Advisories 페이지에 게시됩니다. 사용자 안전을 극대화하기 위해 공개 시기를 조율합니다. 연구원이 원할 경우 권고문에 이름이 표기됩니다.
즉각적인 대응이 필요한 문제에 대한 권고는 가능한 한 신속하게 게시됩니다. 그 외 모든 문제는 해결된 취약점을 나열하는 월간 보안 패치 업데이트 형식으로 게시됩니다.
할당 프로세스
CVE ID 및 CVE 레코드는 CVE CNA 운영 규칙에 따라 할당 및 게시됩니다. 당사의 레코드에는 CWE, CVSS, CPE 정보가 포함되어 있으며, CISA Secure by Design Pledge 목표에 맞춰 정렬되어 있습니다.
레거시 장치
레거시 장치나 지원이 종료된 장치의 취약점을 검증할 수 있는 당사의 능력에는 한계가 있으므로, 신뢰할 수 있는 외부 증거에 의존합니다. 이러한 증거를 통해 취약점과 그 영향을 확인할 수 있는 경우, 고객이 관련 위험을 이해하고 관리할 수 있도록 CVE ID를 할당합니다.
타사 구성 요소
취약점이 주로 자체 CNA를 보유한 타사 구성 요소에 영향을 미치는 경우, 해당 CNA와 조율하여 중복 할당을 피합니다.
세이프 하버 및 선의의 연구
당사는 보안 연구원이 발견한 내용을 법적 결과에 대한 두려움 없이 제출하고 보고하도록 장려합니다. 귀하가 선의로 이 정책을 준수하는 경우 NETGEAR는 해당 연구가 승인된 것으로 간주하며 법적 조치를 취하지 않습니다. 이 정책에 따라 수행된 활동과 관련하여 제3자가 보안 연구원에 대해 법적 조치를 취하는 경우 NETGEAR는 이러한 승인을 분명히 알릴 것입니다.
이때 ‘선의’란 다음을 의미합니다. 프라이버시 침해, 데이터 파기 또는 서비스 중단을 피할 것, 본인 소유가 아닌 데이터에는 액세스하거나 반출·보관하지 않을 것, NETGEAR가 합리적인 수정 기회를 갖기 전에 공개하지 않을 것, 고객을 대상으로 취약점을 악용하려는 사이버 범죄자를 돕지 않을 것, 사용자 데이터를 발견하면 테스트를 중단할 것, 관련 법규를 준수할 것.
마지막 업데이트: 2025년 12월
달리 명시되지 않는 한 NETGEAR 및 자회사의 모든 하드웨어, 펌웨어, 소프트웨어, 모바일 앱, 클라우드 서비스 및 웹 속성에 적용됩니다.