Øget sårbarhedsgennemsigtighed med leverandør-ADP

Siden 2024 har Cybersecurity and Infrastructure Security Agency (CISA) implementeret „Vulnrichment“ -programmet for at berige CVE-data med yderligere oplysninger. Målet er at give yderligere kontekst og hjælpe forsvarere med at vurdere den specifikke risiko for disse sårbarheder. Hver CVE fra cve.org eller github har en Authorized Data Publisher (ADP) container, hvor disse data gemmes.

Som et næste niveau gik Siemens PSIRT ind for en yderligere udvidelse af dette: Leverandør-ADP (SADP), som blev testet i de sidste måneder og endelig introduceret i april 2026. SADP er praktisk, hvis en leverandør som Siemens ønsker at tilføje oplysninger til en sårbarhed, der stammer fra en opstrømsafhængighed.

Som et eksempel kan vi tage CVE-2025-47809. Denne sårbarhed stammer fra Wibu CodeMeter og har en CVSS score på 8.2. Siemens udgav to bulletiner til dette, nemlig SSA-201595 og SSA-331739 for at informere kunder og leverandører af sikkerhedsscannere om, at visse Siemens-produkter bruger denne komponent og arver sårbarheden. Nogle mennesker følger dog ikke Siemens Security Advisories direkte og henter deres oplysninger f.eks. fra cve.org — og de kan nu også blive informeret.

Med den nuværende SADP-tilgang forventer vi, at sårbarhedsscannere kan øge de „sande positive“ satser for berørte Siemens-produkter. I fremtiden, når Siemens også udgiver „kendte ikke berørte“ produkter, forventer vi, at antallet af „falske positiver“ vil falde. „Falske positive“ opstår, når sårbare komponenter er installeret i et system, men sårbarheden kan ikke udnyttes.