サプライヤーADPによる脆弱性の透明性の向上

2024年以降、Cybersecurity・インフラSecurity 庁（CISA）は、CVEデータを追加情報で充実させるために「Vulnrichment」プログラムを実施してきました。目標は、追加のコンテキストを提供し、防御側がこれらの脆弱性の特定のリスクを評価できるようにすることです。からの各CVE cve.org またはgithubには、このデータが保存される認定データ公開者（ADP）コンテナがあります。

次のレベルとして、Siemens PSIRTはこれのさらなる拡張を提唱していました： サプライヤーADP（SADP）、これは過去数か月で試験運用され、2026年4月にようやく導入されました。SADPは、Siemens ようなサプライヤーが、上流の依存関係に起因する脆弱性に情報を追加したい場合に便利です。

例として、次のようなものがあります CVE-2025-2884。この脆弱性はTCG TPM2.0に由来し、CVSSスコアは6.6です。Siemens これに関する勧告を発表しました、すなわち SA-62843 特定のSiemens 製品がこのコンポーネントを使用しており、この脆弱性を継承していることをセキュリティスキャナーの顧客やベンダーに知らせます。ただし、Siemens Security アドバイザリーに直接従わず、情報を入手する人もいます。たとえば cve.org —そして、彼らにも通知できるようになりました。

現在のSADPアプローチでは、脆弱性スキャナーは影響を受けるSiemens 製品の「真の陽性」率を高めることができると予想されます。今後、Siemens が「影響を受けていないことがわかっている」製品データをSADP（現在、セキュリティアドバイザリとCSAFを通じてのみ入手可能な情報）に組み込むようになると、「誤検知」の数は減少すると予想されます。「誤検知」は、脆弱なコンポーネントがシステムにインストールされているが、その脆弱性を悪用できない場合に発生します。