NETGEAR-productbeveiliging
Onze belofte
Bij NETGEAR werken we eraan om mensen veilig met internet te verbinden via veilige ontwerprichtlijnen, integriteit in de toeleveringsketen, proactieve dreigingsbewaking en innovatieve beveiligingsfuncties. Ons team zet zich in voor een sterk productbeveiligingsprogramma dat het vertrouwen van klanten verdient en zich aanpast aan het veranderende cyberdreigingslandschap.
Een kwetsbaarheid melden
Het Productbeveiligingsteam van NETGEAR onderzoekt alle meldingen van beveiligingslekken die van invloed zijn op NETGEAR‑producten en ‑services. Als je een beveiligingsonderzoeker bent en denkt dat je een mogelijk beveiligingsprobleem hebt ontdekt, meld je bevindingen dan via ons Bug Bounty‑platform.
Onderzoekers die niet willen deelnemen aan het bountyprogramma kunnen hun bevindingen nog steeds indienen via ons Kudos Rewards‑programma of door een e-mail te sturen naar ons Productbeveiligingsteam op security@netgear.com.
Opnemen in uw rapport:
- Betroffen producten, modellen, hardware, firmware of softwareversies
- Duidelijke stappen voor reproductie/PoC, verwacht versus daadwerkelijk gedrag
- Beveiligingsimpact of voorgestelde ernst
- Je contactgegevens en hoe we je kunnen vermelden of dat je liever anoniem blijft
Zie voor meer informatie ons security.txt-bestand.
Afhandeling van kwetsbaarheden en reactie
Ons productbeveiligingsteam beheert de secure development lifecycle voor alle productlijnen, inclusief de triage en openbaarmaking van beveiligingsproblemen.
Wat je kunt verwachten:
Initiële reactie
Meldingen worden binnen 3 Amerikaanse werkdagen bevestigd.
De eerste triage wordt binnen 5 Amerikaanse werkdagen afgerond.
Updates over probleemoplossing
Onderzoekers worden geïnformeerd wanneer een oplossing gereed is of wanneer een CVE is toegewezen.
Stimulansen en openbare erkenning
In aanmerking komende bijdragers ontvangen een Bug Bounty-beloning en/of kudos-erkenning en worden, indien gewenst, vermeld in het CVE-record.
We respecteren FIRST TLP v2.0-labels in al onze communicatie. Als er geen label aanwezig is, behandelen we inzendingen als TLP: AMBER, wat kan worden gedeeld met onze technologypartners op basis van noodzaak-om-te-weten, met als doel het ontwikkelen of testen van fixes.
Prioritering en analyse
Ik stel prioriteit aan de reactie op problemen met behulp van de Stakeholder-Specific Vulnerability Categorization (SSVC)-methodologie en gebruik het Common Vulnerability Scoring System (CVSS) om de technische ernst van de problemen te beoordelen.
Tijdlijn en productgeschiktheid
Problemen die onmiddellijke aandacht vereisen, activeren ons noodplan voor incidentrespons en worden zo snel als praktisch mogelijk aangepakt. In andere gevallen ontwikkelen we oplossingen en fixes voor ondersteunde producten via onze standaardcycli voor ontwikkeling, kwaliteitscontrole en gefaseerde uitrol. In uitzonderlijke gevallen kan remediatie langer duren wanneer deze afhankelijk is van derden of standaardisatieorganisaties. In dergelijke gevallen worden melders op de hoogte gehouden.
Alle problemen die bij ons worden gemeld, worden geprioriteerd om te bepalen of ze van toepassing zijn op ondersteunde producten. Over het algemeen ontvangen alleen producten die zich nog binnen hun ondersteuningsperiode bevinden beveiligingsupdates.
Beveiligingsadviezen
Beveiligingsadviezen worden gepubliceerd op de NETGEAR-pagina met beveiligingsadviezen. Openbare bekendmaking wordt gecoördineerd om de veiligheid van gebruikers maximaal te waarborgen. Onderzoekers worden in adviezen vermeld als zij dat willen.
Adviezen voor problemen die onmiddellijke aandacht vereisen, worden zo snel als redelijkerwijs mogelijk gepubliceerd. Alle andere problemen worden gepubliceerd in een maandelijkse beveiligingspatch-update waarin de verholpen kwetsbaarheden worden opgesomd.
Programmapartnerschap met CVE
NETGEAR is een CVE-programmapartner (CNA) en is gemachtigd om CVE-ID's toe te wijzen en CVE-records te publiceren voor kwetsbaarheden in alle NETGEAR-producten, producten van dochterondernemingen en componenten van derden die worden gebruikt in NETGEAR-producten die nog niet onder de reikwijdte van een andere CNA vallen.
Toewijzingsproces
Wij kennen CVE‑ID’s en CVE‑records toe en publiceren deze volgens de operationele regels voor CVE‑CNA. Onze records bevatten CWE-, CVSS- en CPE‑informatie en zijn afgestemd op onze CISA Secure by Design Pledge‑doelen.
Legacy-apparaten
Onze mogelijkheden om kwetsbaarheden in verouderde of niet-ondersteunde apparaten te valideren, zijn beperkt. Om klanten te helpen de risico's te begrijpen, kennen we CVE-ID's toe aan problemen die deze apparaten raken wanneer geloofwaardig bewijs van een kwetsbaarheid en de impact daarvan wordt geleverd.
Componenten van derden
Als een kwetsbaarheid voornamelijk een externe component met een eigen CNA raakt, stem ik dit af met die CNA en voorkom ik dubbele toewijzingen.
NETGEAR sluit aan bij industrienormen
Ons beleid en onze processen zijn afgestemd op algemeen erkende standaarden, raamwerken en richtlijnen:
- ISO/IEC 29147:2018 (openbaar melden van kwetsbaarheden) en ISO/IEC 30111:2019 (afhandeling van kwetsbaarheden).
- NIST Secure Software Development Framework
- Cyber Resilience Act (CRA, Verordening (EU) 2024/2847)
- FIRST PSIRT Services Framework
- CISA Secure by Design principes
Safe Harbor en te goeder trouw uitgevoerd onderzoek
Ik wil beveiligingsonderzoekers aanmoedigen om met hun bevindingen naar voren te komen en deze zonder angst voor juridische gevolgen te melden. Als ik te goeder trouw handel en dit beleid volg, beschouwt NETGEAR dat onderzoek als geautoriseerd en zal geen juridische stappen ondernemen. Als een derde partij juridische stappen onderneemt tegen een beveiligingsonderzoeker voor activiteiten die in overeenstemming met dit beleid zijn uitgevoerd, zal NETGEAR deze autorisatie kenbaar maken.
Te goeder trouw betekent in deze context: inbreuken op privacy, gegevensvernietiging of onderbreking van diensten vermijden; geen toegang krijgen tot, geen exfiltratie uitvoeren van en geen gegevens bewaren die niet van mij zijn; niets openbaar maken voordat NETGEAR een redelijke kans heeft gehad om het probleem op te lossen; cybercriminelen niet helpen de kwetsbaarheden tegen onze klanten te misbruiken; het testen stoppen als ik gebruikersgegevens tegenkom; voldoen aan de toepasselijke wetgeving.
LAATST BIJGEWERKT: DECEMBER 2025
Van toepassing op alle hardware, firmware, software, mobiele apps, cloudservices en webdiensten van NETGEAR en dochterondernemingen, tenzij anders vermeld.