공급업체-ADP를 통한 취약성 투명성 증대

2024년부터 사이버보안 및 인프라 보안국 (CISA) 은 추가 정보로 CVE 데이터를 강화하는 “Vulnrichment” 프로그램을 시행했어요.목표는 추가 컨텍스트를 제공하고 방어자가 이러한 취약점의 특정 위험을 평가하는 데 도움을 주는 거예요.각 CVE는 cve.org 또는 깃허브 이 데이터가 저장되는 공인 데이터 게시자 (ADP) 컨테이너가 있어요.

다음 단계로, Siemens PSIRT는 이걸 더 확장하자고 주장했어요. 바로 공급자-ADP (SADP) 인데, 지난 몇 달 동안 시범 운영되어 2026년 4월에 도입됐어요.Siemens 같은 공급자가 업스트림 종속성에서 비롯된 취약점에 정보를 추가하려는 경우 SADP가 유용해요.

예를 들자면 CVE-2025-47809 가져갈 수 있어요.이 취약점은 위부 코드미터에서 시작됐고 CVSS 점수는 8.2점이에요.Siemens는 이에 대한 두 가지 권고 사항, 즉 보안 스캐너 고객과 공급업체에 특정 Siemens 제품이 이 구성 요소를 사용하고 취약점을 상속한다는 사실을 알리기 위해 SSA-201595 및 SSA-331739 두 가지 권고 사항을 발표했어요.하지만 어떤 사람들은 Siemens Security Advisories를 직접 따르지 않고 예를 들어 cve.org에서 정보를 가져와서 이제 정보도 받을 수 있어요.

현재의 SADP 접근 방식으로는 취약점 스캐너가 영향을 받는 Siemens 제품의 “진정한 긍정” 비율을 높일 수 있을 것으로 기대돼요.앞으로 Siemens가 “영향을 받지 않은 것으로 알려진” 제품도 발표하면 “오탐”이 줄어들 것으로 예상돼요.“오탐지”는 취약한 구성 요소가 시스템에 설치되어 있지만 취약점을 악용할 수 없을 때 발생해요.