我們的安全承諾
在TP-Link,安全是我們產品策略和企業理念的核心支柱。多年來,我們開發並完善了一套全面的安全框架,旨在快速有效地預測、識別和應對風險。
致力於產品安全和資料安全
安全已融入TP-Link的產品開發生命週期。從產品規劃到發布甚至後續階段,我們的產品團隊始終將安全措施融入產品功能和使用者體驗中。我們對安全的投入包括組建一支內部滲透測試團隊,該團隊由經驗豐富的物聯網和嵌入式系統安全專家組成,負責持續進行威脅建模和真實場景模擬攻擊。此外,我們也與經認證的第三方安全實驗室合作,對我們的產品進行嚴格審查,幫助我們識別、優先處理並及時解決潛在漏洞,避免其影響我們的客戶。一旦我們的安全團隊或外部研究人員發現問題,我們會迅速採取適當措施,包括設計和發布安全修補程式。
為了確保程式碼在整個開發週期中始終安全,不受惡意程式碼或漏洞的侵害,TP-Link 採用持續自動化流程進行軟體建置、測試和部署。我們的持續整合/持續交付 (CI/CD) 管線可確保只有經過驗證和授權的程式碼才能進入每個階段,從而有效防止漏洞和後門的出現。
我們同樣重視使用者資料的保護,並將其視為安全保障的核心。我們將用戶資料儲存在採用業界認可的安全協定所保護的安全雲端基礎架構上。 TP-Link 擁有一支位於美國的資訊安全團隊,負責監管公司內部的核心資料安全職能;同時,我們也擁有一支位於美國的雲端營運團隊,負責監控雲端美國客戶資料的安全性和完整性。
數據驅動的安全態勢證據
TP-Link 致力於成為安全領域的產業領導者,我們透過實際行動和可衡量的成果證明了這項承諾。公開數據的對比顯示,TP-Link 在通用漏洞評分系統 (CVSS)、常見漏洞和披露 (CVE) 以及已知已利用漏洞 (KEV) 等方面的安全表現,與其他主要行業參與者相比毫不遜色,甚至更勝一籌。
| 思科: | 7.3 |
|---|---|
| Zyxel: | 7.6 |
| NETGEAR: | 7.7 |
| TP-Link: | 8.2 |
| DrayTek: | 8.5 |
| D-Link: | 9.5 |
根據 CVEdetails.com 網站上各廠商頁面提供的 2024 年數據,TP-Link 的平均加權 CVSS 評分(衡量漏洞嚴重程度的行業標準指標)與其他領先廠商的評分基本一致。 1 TP-Link 和其他領先廠商的平均加權評分如下圖 1 所示:
圖 1:平均加權 CVSS 評分(2024 年)
CVE姿勢
CVE是用於識別已公開報告的網路安全漏洞的標準化識別碼。根據CVE數量和嚴重程度評估,TPLink的漏洞狀況在業界同業中處於中低水準。
如圖 2 所示,TP-Link 與ASUS、Zyxel 等公司一起,屬於中等程度的供應商。
TP-Link 的嚴重性分佈在「中」、「高」和「嚴重」三個類別之間較為均衡,與其他大多數廠商的情況一致。
圖 2:以嚴重程度劃分的各廠商 CVE 數量(截至 2025 年 10 月 31 日)
TP-Link 致力於在驗證漏洞後 90 天內發布修補程式。在嚴重情況下,TP-Link 也會為停產設備發布補丁,而競爭對手並未始終堅持此做法。
KEV Posture
TP-Link 在 KEV 清單中列出的漏洞數量也處於中等水平,一些競爭對手的漏洞數量要高得多,TP-Link 已經修復了所有這些漏洞,只有一個漏洞被 TP-Link 質疑並評估為不應列入清單。
如圖 3 所示,TP-Link 的 KEV 數量與幾家競爭對手基本持平,但一些行業領導者的 KEV 數量明顯更高。例如,Zyxel 的 KEV 數量約為 TP-Link 的兩倍,而 D-Link 的 KEV 數量約為 TP-Link 的兩倍。
圖 3:按供應商劃分的 CISA KEV 納入情況(截至 2025 年 10 月 31 日)
如圖 4 所示,TP-Link 已為所有 KEV 清單中列出的漏洞提供了修補程式(TP-Link 對其中一個漏洞的有效性提出異議)。這種做法並非業內統一,尤其是一些供應商不會為已停產設備相關的 KEV 發布補丁。
圖 4:按供應商和補丁可用性劃分的 KEV CVE 數量(截至 2025 年 10 月 31 日)
TP-Link 的預設設定不會受到來自網際網路的 KEV 漏洞程式的影響。對於所有與 TP-Link 產品相關的 KEV 漏洞,使用者只有在手動更改 TP-Link 的安全設定時才會面臨風險。預設情況下,與這些漏洞相關的功能要么完全禁用,要么僅限於本地家庭網絡,從而阻止了基於互聯網的攻擊。若要進行遠端利用,使用者必須主動啟用遠端管理功能並將管理介面暴露在互聯網上,當使用者嘗試進行這些配置變更時,TP-Link 會發出明確的警告。
絕大多數用戶並沒有刻意決定將他們的管理介面暴露在網絡上,因此不會面臨這些 KEV 列出的漏洞的風險。
致力於安全設計和行業標準
TP-Link 堅定支持政府主導的網路安全措施和業界標準的製定。我們參與了由美國網路安全和基礎設施安全局 (CISA) 發起的「安全設計」承諾,並支持歐盟提出的《網路彈性法案》(CRA)。自 2022 年以來,已有超過 200 款 TP-Link 產品獲得包括芬蘭、德國和韓國在內的多個國家認可的安全認證。 TP-Link 強烈支持美國制定類似的產品安全標準,並相信這些標準將提升所有人的安全基線。
致力於透明度
為了保障軟體和韌體元件的完整性和真實性,TP-Link 採用業界認可的機制,例如程式碼簽章、二進位簽章和加密。這些措施確保每個版本的軟體都能被驗證為正版,並確認軟體未被竄改或偽造。這些安全措施對於防止攻擊者在產品中植入惡意程式碼或後門至關重要。
為了方便第三方審核、加快產品更新速度並更清楚地了解產品投入,TP-Link 為每款產品建立軟體物料清單 (SBOM)。 SBOM 是產品軟體元件及其來源的完整清單,採用業界標準格式,涵蓋所有產品版本,並包含建置時溯源資料。 SBOM 創建了一個可審核的記錄,支援第三方對 TP-Link 產品中的每個元件進行驗證,從而能夠快速識別並應對程式碼漏洞。此流程已直接整合到發布工作流程中,以確保開發和製造每個階段的準確性和可追溯性。
此外,我們會及時推送韌體和軟體更新,並將更新連結至 cve.org 網站上已識別的漏洞,並在適當的時候發布詳細的安全公告。我們也會發布並維護清晰的產品生命週期終止政策,確保客戶了解其舊設備還能持續接收關鍵更新的時長,以及客戶如何協助確保設備安全。
由於TP-Link對其設計、開發和生產流程擁有完全的可見性和控制權,因此軟體物料清單(SBOM)的產生和驗證已成為標準流程,而非監管要求。這種自願承諾實現了軟體元件及其來源的完全透明化,從而創造出更安全、更可靠、漏洞更少、安全反應更快的產品。
與安全社群的互動
TP-Link積極參與全球安全倡議和網路安全社區。我們是註冊的CVE編號機構,這意味著我們直接負責識別和公佈可能影響我們產品的網路安全漏洞。我們與第三方合作夥伴合作,包括產品安全測試、在知名產業平台上運行漏洞賞金計劃,以及參與諸如Zero Day Initiative的PWN2OWN等駭客競賽。 TP-Link積極參與全球安全倡議,並擁有主動的漏洞揭露機制。獨立研究人員和安全社群可以透過security@tp-link.com向我們報告潛在問題。
持續改進和問責制
我們言出必行。我們的持續整合/持續交付 (CI/CD) 管線使我們能夠及早發現問題,而持續的滲透測試結果則直接指導我們的產品路線圖。我們衡量成功的標準包括:回應漏洞的速度、有效降低漏洞總量的程度、客戶給予的信任回饋。 TP-Link 積極監控全球網路安全動態,並隨時準備好應對任何被進階持續性威脅 (APT) 攻擊者利用的漏洞。
簡而言之,TP-Link 致力於成為物聯網和網路安全領域的領導者,同時我們也深知安全永無止境,始終處於發展演變之中。透過與行業專家合作,遵循政府指導方針和標準,並堅持不懈地追求卓越,我們確保客戶無論現在還是將來都能信賴我們的設備。