Zvýšení transparentnosti zranitelnosti pomocí dodavatelů-ADP

Od roku 2024 implementovala Agentura pro bezpečnost kybernetické bezpečnosti a infrastruktury (CISA) program „Vulnrichment“ k obohacení dat CVE o další informace. Cílem je poskytnout další kontext a pomoci obráncům při posuzování konkrétního rizika těchto zranitelností. Každá CVE od cve.org nebo github má kontejner autorizovaného vydavatele dat (ADP), kde jsou tato data uložena.

Jako další úroveň Siemens PSIRT obhajoval další rozšíření tohoto: Dodavatel-ADP (SADP), který byl pilotován v posledních měsících a nakonec představen v dubnu 2026. SADP se hodí, pokud dodavatel, jako je Siemens, chce přidat informace do zranitelnosti, která pochází z předcházející závislosti.

Jako příklad můžeme vzít CVE-2025-2884. Tato chyba zabezpečení pochází z TCG TPM2.0 a má skóre CVSS 6,6. Siemens k tomu vydal doporučení, jmenovitě SSA-628843 informovat zákazníky a dodavatele bezpečnostních skenerů, že některé produkty Siemens používají tuto komponentu a zdědí zranitelnost. Někteří lidé však nesledují Siemens Security Advisories přímo a berou své informace např. cve.org A nyní mohou být také informováni.

Se současným přístupem SADP očekáváme, že skenery zranitelností mohou zvýšit „skutečné pozitivní“ sazby pro dotčené produkty Siemens. V budoucnu, když se Siemens rozšíří o začlenění „známých a neovlivněných“ produktových dat do SADP (informace jsou v současné době dostupné pouze prostřednictvím bezpečnostních doporučení a CSAF), očekáváme, že počet „falešně pozitivních výsledků“ klesne. K „falešným pozitivům“ dochází, když jsou v systému nainstalovány zranitelné komponenty, ale chybu zabezpečení nelze zneužít.