Povećanje transparentnosti ranjivosti s dobavljačem-ADP-om

Od 2024. godine Agencija za Cybersecurity i sigurnost infrastrukture (CISA) provodi program "Vullrichment" za obogaćivanje podataka CVE dodatnim informacijama. Cilj je dati dodatni kontekst i pomoći braniteljima u procjeni specifičnog rizika od tih ranjivosti. Svaki CVE od cve.org ili github ima spremnik ovlaštenog izdavača podataka (ADP) u koji se pohranjuju ti podaci.

Kao sljedeću razinu, Siemens PSIRT zagovarao je daljnje proširenje ovoga: Dobavljač-ADP (SADP), koji je pilotiran posljednjih mjeseci i konačno predstavljen u travnju 2026. SADP je zgodan ako dobavljač poput Siemensa želi dodati informacije ranjivosti koja potječe iz uzvodne ovisnosti.

Kao primjer možemo uzeti CVE-2025-47809. Ova ranjivost potječe iz Wibu CodeMeter-a i ima CVSS ocjenu 8,2. Siemens je za to objavio dva savjeta, naime SSA-201595 i SSA-331739 kako bi obavijestio kupce i dobavljače sigurnosnih skenera da određeni Siemensovi proizvodi koriste ovu komponentu i nasljeđuju ranjivost. Međutim, neki ljudi ne slijede izravno Siemensove sigurnosne savjete i uzimaju svoje podatke, npr. s cve.org - a sada mogu biti obaviješteni i oni.

Sadašnjim SADP pristupom očekujemo da skeneri ranjivosti mogu povećati stope "istinski pozitivnih" za pogođene Siemensove proizvode. U budućnosti, kada Siemens objavljuje i "poznate proizvode koji nisu pogođeni", očekujemo da će broj "lažno pozitivnih rezultata" pasti. "Lažni pozitivni rezultati" nastaju kada su ranjive komponente instalirane u sustav, ali ranjivost se ne može iskoristiti.