サプライヤーADPによる脆弱性の透明性の向上

2024年以降、Cybersecurity・インフラSecurity 庁（CISA）は、CVEデータを追加情報で充実させるために「Vulnrichment」プログラムを実施してきました。目標は、追加のコンテキストを提供し、防御側がこれらの脆弱性の特定のリスクを評価できるようにすることです。からの各CVE cve.org または github には、このデータが保存される認定データ発行者（ADP）コンテナがあります。

次のレベルとして、Siemens PSIRTはこれをさらに拡張することを提唱していました。サプライヤーADP（SADP）は、過去数か月で試験運用され、2026年4月にようやく導入されました。SADPは、Siemens ようなサプライヤーが、上流の依存関係に起因する脆弱性に情報を追加したい場合に便利です。

例として、CVE-2025-47809を考えてみましょう。この脆弱性はWibu CodeMeterで発生し、CVSSスコアは8.2です。シーメンスは、特定のSiemens 製品がこのコンポーネントを使用して脆弱性を継承していることをセキュリティスキャナーの顧客とベンダーに知らせるために、SSA-201595とSSA-331739という2つの勧告を発表しました。ただし、Siemens Security アドバイザリーに直接従わず、cve.orgなどから情報を入手する人もいます。そして、彼らにも通知を受けることができるようになりました。

現在のSADPアプローチでは、脆弱性スキャナーは影響を受けるSiemens 製品の「真の陽性」率を高めることができると予想されます。今後、Siemens が「既知で影響なし」の製品も公開すると、「誤検知」の数は減少すると予想されます。「誤検知」は、脆弱なコンポーネントがシステムにインストールされているが、その脆弱性を悪用できない場合に発生します。