Aumento de la transparencia de vulnerabilidades con ADP del proveedor

Desde 2024, la Agencia de Security de la Infraestructura y Cybersecurity (CISA) ha implementado el programa “Vulnrichment” para enriquecer los datos de CVE con información adicional. El objetivo es dar contexto adicional y ayudar a los defensores a evaluar el riesgo específico de estas vulnerabilidades. Cada CVE de cve.org o github tiene un contenedor de publicación de datos autorizado (ADP) donde se almacenan estos datos.

Como siguiente nivel, Siemens PSIRT estaba abogando por una mayor extensión de esto: el ADP del proveedor (SADP), que se puso en marcha en los últimos meses y finalmente se introdujo en abril de 2026. El SADP es útil si un proveedor como Siemens quiere agregar información a una vulnerabilidad, que se origina en una dependencia ascendente.

Como ejemplo, podemos tomar CVE-2025-47809. Esta vulnerabilidad se origina en Wibu CodeMeter y tiene una puntuación CVSS de 8.2. Siemens lanzó dos avisos para esto, a saber, SSA-201595 y SSA-331739 para informar a los clientes y proveedores de escáneres de seguridad que ciertos productos Siemens utilizan este componente y heredan la vulnerabilidad. Sin embargo, algunas personas no siguen directamente los avisos de Security de Siemens y toman su información, por ejemplo, de cve.org, y ahora también pueden estar informados.

Con el enfoque SADP actual, esperamos que los escáneres de vulnerabilidad puedan aumentar las tasas de “verdaderos positivos” para los productos Siemens afectados. En el futuro, cuando Siemens también publique productos “conocidos no afectados”, esperamos que baje el número de “falsos positivos”. Los “falsos positivos” ocurren cuando se instalan componentes vulnerables en un sistema, pero la vulnerabilidad no se puede explotar.