A biztonsági rések átláthatóságának növelése a Supplier-ADP segítségével

2024 óta a Cybersecurity és Infrastruktúra Biztonsági Ügynökség (CISA) végrehajtja a „Vullrichment” programot, hogy további információkkal gazdagítsa a CVE-adatokat. A cél az, hogy további kontextusokat adjon, és segítse a védőket ezen sebezhetőségek sajátos kockázatának felmérésében. Minden CVE cve.org vagy a github rendelkezik egy engedélyezett adatközlő (ADP) tárolóval, ahol ezeket az adatokat tárolják.

Következő szintként a Siemens PSIRT ennek további kiterjesztését szorgalmazta: Szállító-ADP (SADP), amelyet az elmúlt hónapokban kísérleteztek, és végül 2026 áprilisában vezettek be. Az SADP akkor hasznos, ha egy olyan beszállító, mint a Siemens, információt szeretne hozzáadni egy sebezhetőséghez, amely felfelé irányuló függőségből származik.

Példaként vehetjük a CVE-2025-47809-et. Ez a sebezhetőség a Wibu CodeMeter-ből származik, és a CVSS pontszáma 8,2. A Siemens erre két tanácsot adott ki, nevezetesen SSA-201595 és SSA-331739 a biztonsági szkennerek ügyfeleinek és beszállítóinak tájékoztatása arról, hogy bizonyos Siemens termékek használják ezt az összetevőt, és öröklik a biztonsági rést. Vannak azonban, akik nem követik közvetlenül a Siemens Security tanácsait, és adataikat például a cve.org webhelyről veszik fel — és most már értesíthetők.

A jelenlegi SADP megközelítéssel arra számítunk, hogy a sérülékenységi szkennerek növelhetik az érintett Siemens termékek „valódi pozitív” arányát. A jövőben, amikor a Siemens terjeszkedik arra, hogy beépítse az „ismert, nem érintett” termékadatokat a SADP-be (az információk jelenleg csak biztonsági tanácsok és CSAF segítségével érhetők el), várhatóan csökkenni fog a „hamis pozitív” adatok száma. „Hamis pozitívumok” akkor fordulnak elő, ha sérülékeny összetevőket telepítenek egy rendszerbe, de a biztonsági rést nem lehet kihasználni.