Zvýšení transparentnosti zranitelnosti pomocí dodavatelů-ADP

Od roku 2024 implementovala Agentura pro bezpečnost kybernetické bezpečnosti a infrastruktury (CISA) program „Vulnrichment“ k obohacení dat CVE o další informace. Cílem je poskytnout další kontext a pomoci obráncům při posuzování konkrétního rizika těchto zranitelností. Každá CVE od cve.org nebo github má kontejner autorizovaného vydavatele dat (ADP), kde jsou tato data uložena.

Jako další úroveň Siemens PSIRT obhajoval další rozšíření tohoto: Dodavatel-ADP (SADP), který byl pilotní v posledních měsících a nakonec představen v dubnu 2026. SADP se hodí, pokud dodavatel, jako je Siemens, chce přidat informace do zranitelnosti, která pochází z předcházející závislosti.

Jako příklad můžeme vzít CVE-2025-47809. Tato chyba zabezpečení pochází z Wibu CodeMeter a má skóre CVSS 8,2. Společnost Siemens k tomu vydala dvě doporučení, jmenovitě SSA-201595 a SSA-331739, aby informovala zákazníky a dodavatele bezpečnostních skenerů, že některé produkty Siemens používají tuto komponentu a zdědí chybu zabezpečení. Někteří lidé však nesledují Siemens Security Advisories přímo a berou si své informace např. z cve.org — a nyní mohou být také informováni.

Se současným přístupem SADP očekáváme, že skenery zranitelností mohou zvýšit „skutečné pozitivní“ sazby pro dotčené produkty Siemens. V budoucnu, kdy Siemens zveřejní také „známé neovlivněné“ produkty, očekáváme, že počet „falešně pozitivních“ klesne. K „falešným pozitivům“ dochází, když jsou v systému nainstalovány zranitelné komponenty, ale chybu zabezpečení nelze zneužít.