Haavatavuse läbipaistvuse suurendamine tarnija-ADP-ga

Alates 2024. aastast on küberturvalisuse ja infrastruktuuri turvalisuse agentuur (CISA) rakendanud programmi „Vullrichment”, et rikastada CVE andmeid täiendava teabega. Eesmärk on anda täiendavat konteksti ja aidata kaitsjaid nende haavatavuste spetsiifilise riski hindamisel. Iga CVE alates cve.org või github omab volitatud andmete väljaandja (ADP) konteinerit, kuhu neid andmeid säilitatakse.

Järgmise tasemena propageeris Siemens PSIRT selle edasist laiendamist: tarnija-ADP (SADP), mida katsetati viimastel kuudel ja võeti lõpuks kasutusele 2026 aprillis. SADP on kasulik, kui tarnija nagu Siemens soovib lisada teavet haavatavusele, mis pärineb ülesvoolu sõltuvusest.

Näitena võime võtta CVE-2025-47809. See haavatavus pärineb Wibu CodeMeterist ja selle CVSS-skoor on 8,2. Siemens avaldas selleks kaks nõuannet, nimelt SSA-201595 ja SSA-331739, et teavitada turvaskannerite kliente ja tarnijaid, et teatud Siemensi tooted kasutavad seda komponenti ja pärivad haavatavuse. Kuid mõned inimesed ei järgi Siemensi turvanõuandeid otse ja võtavad oma teavet näiteks saidilt cve.org — ja neid saab nüüd ka teavitada.

Praeguse SADP lähenemisviisi abil eeldame, et haavatavusskannerid võivad suurendada mõjutatud Siemensi toodete „tõeliselt positiivseid” määrasid. Tulevikus, kui Siemens avaldab ka teadaolevalt mõjutamata tooteid, eeldame, et „valepositiivsete” arv langeb. „Valepositiivsed” tekivad siis, kui süsteemi on paigaldatud haavatavad komponendid, kuid haavatavust ei saa ära kasutada.