공급업체-ADP를 통한 취약성 투명성 증대

2024년부터 사이버보안 및 인프라 보안국 (CISA) 은 추가 정보로 CVE 데이터를 강화하는 “Vulnrichment” 프로그램을 시행했어요.목표는 추가 컨텍스트를 제공하고 방어자가 이러한 취약점의 특정 위험을 평가하는 데 도움을 주는 거예요.각 CVE는 cve.org 또는 github에 이 데이터가 저장되는 공인 데이터 게시자 (ADP) 컨테이너가 있어요.

한 단계 더 나아가서, Siemens PSIRT는 이걸 더 확장하자고 주장했어요. 공급자-ADP (SADP)지난 몇 달 동안 시범 운영되었고 마침내 2026년 4월에 도입됐어요.Siemens 같은 공급자가 업스트림 종속성에서 비롯된 취약점에 정보를 추가하려는 경우 SADP가 유용해요.

예를 들자면, 우리는 CVE-2025-2884.이 취약점은 TCG TPM2.0에서 시작됐고 CVSS 점수는 6.6이에요.Siemens에서 이에 대한 권고문을 발표했어요. 즉 SSA-628843 특정 Siemens 제품이 이 구성 요소를 사용하고 취약점을 상속한다는 것을 보안 스캐너 고객과 공급업체에 알리기 위해서예요.하지만 어떤 사람들은 Siemens 보안 권고를 직접 따르지 않고 정보를 가져가기도 해요, 예를 들어 cve.org — 그리고 이제 그들도 정보를 받을 수 있어요.

현재의 SADP 접근 방식으로는 취약점 스캐너가 영향을 받는 Siemens 제품의 “진정한 긍정” 비율을 높일 수 있을 것으로 기대돼요.앞으로 Siemens가 “영향을 받지 않은 것으로 알려진” 제품 데이터를 SADP (현재는 보안 권고 및 CSAF를 통해서만 제공되는 정보) 에 통합하도록 확장하면 “오탐지”의 수가 줄어들 것으로 예상돼요.“오탐지”는 취약한 구성 요소가 시스템에 설치되어 있지만 취약점을 악용할 수 없을 때 발생해요.