Aumentare la trasparenza delle vulnerabilità con il fornitore-ADP

Dal 2024, la Cybersecurity and Infrastructure Security Agency (CISA) ha implementato il programma «Vulnrichment» per arricchire i dati CVE con informazioni aggiuntive. L'obiettivo è fornire un contesto aggiuntivo e aiutare i difensori a valutare il rischio specifico di queste vulnerabilità. Ogni CVE di cve.org o github ha un contenitore Authorized Data Publisher (ADP) in cui sono archiviati questi dati.

Come livello successivo, Siemens PSIRT sosteneva un'ulteriore estensione di questo: The Supplier-ADP (SADP), che è stato sperimentato negli ultimi mesi e finalmente introdotto nell'aprile 2026. Il SADP è utile se un fornitore come Siemens vuole aggiungere informazioni a una vulnerabilità, che ha origine in una dipendenza a monte.

Ad esempio, possiamo prendere CVE-2025-47809. Questa vulnerabilità è originata da Wibu CodeMeter e ha un punteggio CVSS di 8,2. Siemens ha rilasciato due avvisi in merito, vale a dire SSA-201595 e SSA-331739 per informare clienti e fornitori di scanner di sicurezza che determinati prodotti Siemens utilizzano questo componente ed ereditano la vulnerabilità. Tuttavia, alcune persone non seguono direttamente i Siemens Security Advisories e raccolgono le loro informazioni, ad esempio da cve.org, e ora possono anche essere informate.

Con l'attuale approccio SADP, ci aspettiamo che gli scanner di vulnerabilità possano aumentare i tassi di «veri positivi» per i prodotti Siemens interessati. In futuro, quando Siemens pubblicherà anche prodotti «noti e non interessati», prevediamo un calo del numero di «falsi positivi». I «falsi positivi» si verificano quando i componenti vulnerabili sono installati in un sistema, ma la vulnerabilità non può essere sfruttata.