Augmenter la transparence des vulnérabilités avec Supplier-ADP

Depuis 2024, la Cybersecurity and Infrastructure Security Agency (CISA) a mis en œuvre le programme « Vulnrichment » pour enrichir les données CVE avec des informations supplémentaires. L'objectif est de donner un contexte supplémentaire et d'aider les défenseurs à évaluer le risque spécifique de ces vulnérabilités. Chaque CVE de cve.org ou github dispose d'un conteneur d'éditeur de données autorisé (ADP) où ces données sont stockées.

Au niveau suivant, Siemens PSIRT préconisait une nouvelle extension de ceci : Le fournisseur-ADP (SADP), qui a été piloté au cours des derniers mois et finalement introduit en avril 2026. Le SADP est pratique si un fournisseur comme Siemens veut ajouter des informations à une vulnérabilité, qui provient d'une dépendance en amont.

À titre d'exemple, nous pouvons prendre CVE-2025-47809. Cette vulnérabilité provient de Wimu CodeMeter et a un score CVSS de 8,2. Siemens a publié deux avis à ce sujet, à savoir SSA-201595 et SSA-331739 pour informer les clients et les fournisseurs de scanners de sécurité que certains produits Siemens utilisent ce composant et héritent de la vulnérabilité. Cependant, certaines personnes ne suivent pas directement les avis de Security de Siemens et ne prennent pas leurs informations, par exemple de cve.org — et elles peuvent maintenant être informées aussi.

Avec l'approche SADP actuelle, nous nous attendons à ce que les scanners de vulnérabilité puissent augmenter les taux de « vrais positifs » pour les produits Siemens touchés. À l'avenir, lorsque Siemens publiera également des produits « connus non affectés », nous nous attendons à ce que le nombre de « faux positifs » diminue. Les « faux positifs » se produisent lorsque des composants vulnérables sont installés dans un système, mais la vulnérabilité ne peut pas être exploitée.