Augmenter la transparence des vulnérabilités avec fournisseur-ADP

Depuis 2024, la Cybersecurity and Infrastructure Security Agency (CISA) a mis en œuvre le programme « Vulnrichment » pour enrichir les données CVE avec des informations supplémentaires. L'objectif est de donner un contexte supplémentaire et d'aider les défenseurs à évaluer le risque spécifique de ces vulnérabilités. Chaque CVE de cve.org ou github a un conteneur d'éditeur de données autorisé (ADP) où ces données sont stockées.

Au niveau suivant, Siemens PSIRT préconisait une extension supplémentaire de ceci : Le Fournisseur-ADP (SADP), qui a été piloté au cours des derniers mois et finalement introduit en avril 2026. Le SADP est pratique si un fournisseur comme Siemens veut ajouter des informations à une vulnérabilité, qui provient d'une dépendance en amont.

À titre d'exemple, nous pouvons prendre CVE-2025-47809. Cette vulnérabilité provient de Wibu CodeMeter et a un score CVSS de 8,2. Siemens a publié deux avis pour cela, à savoir SSA-201595 et SSA-331739 pour informer les clients et les fournisseurs de scanners de sécurité que certains produits Siemens utilisent ce composant et héritent de la vulnérabilité. Cependant, certaines personnes ne suivent pas directement les avis de Security de Siemens et ne prennent pas leurs informations, par exemple de cve.org — et elles peuvent maintenant être informées aussi.

Avec l'approche SADP actuelle, nous nous attendons à ce que les scanners de vulnérabilité puissent augmenter les taux de « vrais positifs » pour les produits Siemens touchés. À l'avenir, lorsque Siemens s'étendra pour intégrer des données de produits « connues et non affectées » dans SADP (informations actuellement disponibles uniquement par le biais des avis de sécurité et de la CSAF), nous nous attendons à ce que le nombre de « faux positifs » diminue. Les « faux positifs » se produisent lorsque des composants vulnérables sont installés dans un système, mais la vulnérabilité ne peut pas être exploitée.