Aumentare la trasparenza sulle vulnerabilità con il fornitore-ADP

Dal 2024, la Cybersecurity and Infrastructure Security Agency (CISA) ha implementato il programma «Vulnrichment» per arricchire i dati CVE con informazioni aggiuntive. L'obiettivo è fornire un contesto aggiuntivo e aiutare i difensori a valutare il rischio specifico di queste vulnerabilità. Ogni CVE di cve.org o github ha un contenitore Authorized Data Publisher (ADP) in cui sono archiviati questi dati.

Come livello successivo, Siemens PSIRT sosteneva un'ulteriore estensione di questo: Fornitore ADP (SADP), che è stato sperimentato negli ultimi mesi e finalmente introdotto nell'aprile 2026. Il SADP è utile se un fornitore come Siemens vuole aggiungere informazioni a una vulnerabilità, che ha origine in una dipendenza a monte.

Ad esempio, possiamo prendere CVE-2025-2884. Questa vulnerabilità è originaria del TCG TPM2.0 e ha un punteggio CVSS di 6,6. Siemens ha rilasciato un avviso in merito, vale a dire SSA-628843 informare clienti e fornitori di scanner di sicurezza che determinati prodotti Siemens utilizzano questo componente ed ereditano la vulnerabilità. Tuttavia, alcune persone non seguono direttamente i Siemens Security Advisories e raccolgono le loro informazioni, ad esempio da cve.org — e ora possono essere informati anche loro.

Con l'attuale approccio SADP, ci aspettiamo che gli scanner di vulnerabilità possano aumentare i tassi di «veri positivi» per i prodotti Siemens interessati. In futuro, quando Siemens si espanderà per incorporare dati di prodotto «noti e non interessati» in SADP (informazioni attualmente disponibili solo tramite avvisi di sicurezza e CSAF), prevediamo che il numero di «falsi positivi» diminuisca. I «falsi positivi» si verificano quando i componenti vulnerabili sono installati in un sistema, ma la vulnerabilità non può essere sfruttata.