Повишаване на прозрачността на уязвимостта с доставчик-ADP

От 2024 г. Агенцията за Cybersecurity и инфраструктурна сигурност (CISA) прилага програмата „Vulnrichment“ за обогатяване на данните от CVE с допълнителна информация. Целта е да се даде допълнителен контекст и да се помогне на защитниците при оценката на специфичния риск от тези уязвимости. Всяка CVE от cve.org или гитуб има контейнер за оторизиран издател на данни (ADP), където се съхраняват тези данни.

Като следващо ниво, Siemens PSIRT се застъпва за по-нататъшно разширяване на това: доставчик-ADP (SADP), който беше пилотиран през последните месеци и накрая въведен през април 2026 г. SADP е полезен, ако доставчик като Siemens иска да добави информация към уязвимост, която произхожда от зависимост нагоре по веригата.

Като пример можем да вземем CVE-2025-47809. Тази уязвимост произхожда от Wibu CodeMeter и има CVSS резултат 8.2. Siemens публикува две съвети за това, а именно SSA-201595 и SSA-331739, за да информира клиентите и доставчиците на скенери за сигурност, че някои продукти на Siemens използват този компонент и наследяват уязвимостта. Някои хора обаче не следват директно съветите за Security на Siemens и вземат информацията си, например от cve.org - и вече могат да бъдат информирани.

С настоящия подход на SADP очакваме, че скенерите за уязвимост могат да увеличат „истинските положителни“ проценти за засегнатите продукти на Siemens. В бъдеще, когато Siemens публикува и „известни незасегнати“ продукти, очакваме броят на „фалшивите положителни резултати“ да спадне. „Фалшиви положителни резултати“ възникват, когато уязвимите компоненти са инсталирани в системата, но уязвимостта не може да бъде използвана.