Повишаване на прозрачността на уязвимостта с доставчик-ADP

От 2024 г. Агенцията за Cybersecurity и инфраструктурна сигурност (CISA) прилага програмата „Vulnrichment“ за обогатяване на данните от CVE с допълнителна информация. Целта е да се даде допълнителен контекст и да се помогне на защитниците при оценката на специфичния риск от тези уязвимости. Всяка CVE от cve.org или github има контейнер за оторизиран издател на данни (ADP), където се съхраняват тези данни.

Като следващо ниво Siemens PSIRT се застъпва за по-нататъшно разширяване на това: Доставчик-АДП (SADP), която беше пилотирана през последните месеци и най-накрая въведена през април 2026 г. SADP е полезен, ако доставчик като Siemens иска да добави информация към уязвимост, която произхожда от зависимост нагоре по веригата.

Като пример можем да вземем CVE-2025-47809. Тази уязвимост произхожда от Wibu CodeMeter и има CVSS резултат 8.2. Siemens публикува две съвети за това, а именно ССА-201595 и ССА-331739 да информира клиентите и доставчиците на скенери за сигурност, че някои продукти на Siemens използват този компонент и наследяват уязвимостта. Някои хора обаче не следват директно съветите за Security на Siemens и вземат информацията си, например от cve.org - и вече могат да бъдат информирани.

С настоящия подход на SADP очакваме, че скенерите за уязвимост могат да увеличат „истинските положителни“ проценти за засегнатите продукти на Siemens. В бъдеще, когато Siemens се разшири, за да включи „известно-незасегнатите“ продуктови данни в SADP (информация, достъпна понастоящем само чрез съвети за сигурност и CSAF), очакваме броят на „фалшивите положителни резултати“ да спадне. „Фалшиви положителни резултати“ възникват, когато уязвимите компоненти са инсталирани в системата, но уязвимостта не може да бъде използвана.