Pažeidžiamumo skaidrumo didinimas naudojant tiekėją-ADP

Nuo 2024 metų Kibernetinio saugumo ir infrastruktūros Security agentūra (CISA) įgyvendino programą “Vulnrichment”, skirtą CVE duomenis praturtinti papildoma informacija. Tikslas yra suteikti papildomą kontekstą ir padėti gynėjams vertinant konkrečią šių pažeidžiamumų riziką. Kiekvienas CVE iš cve.org arba github turi įgaliotojo duomenų leidėjo (ADP) talpyklą, kurioje saugomi šie duomenys.

Kaip kitą lygį “Siemens PSIRT” pasisakė už tolesnį šios veiklos pratęsimą: tiekėjas-ADP (SADP), kuris buvo pilotuojamas paskutiniais mėnesiais ir galiausiai pristatytas 2026 m. Balandį. SADP yra naudingas, jei tiekėjas, pavyzdžiui, “Siemens”, nori pridėti informaciją prie pažeidžiamumo, kuris kyla iš priklausomybės prieš srovę.

Kaip pavyzdį galime paimti CVE-2025-47809. Šis pažeidžiamumas kilęs iš “Wibu CodeMeter” ir jo CVSS balas yra 8,2. “Siemens” išleido du patarimus, būtent SSA-201595 ir SSA-331739, kad praneštų klientams ir saugumo skaitytuvų pardavėjams, kad tam tikri “Siemens” produktai naudoja šį komponentą ir paveldi pažeidžiamumą. Tačiau kai kurie žmonės tiesiogiai nesilaiko “Siemens Security Advisories” ir perima savo informaciją, pvz., iš cve.org — ir dabar jie taip pat gali būti informuoti.

Laikydamiesi dabartinio SADP požiūrio, tikimės, kad pažeidžiamumo skaitytuvai gali padidinti “tikrąjį teigiamą” rodiklį paveiktiems “Siemens” produktams. Ateityje, kai “Siemens” taip pat paskelbs “žinomai nepaveiktus” produktus, tikimės, kad “klaidingų teigiamų” skaičius sumažės. “Klaidingi teigiami rezultatai” atsiranda, kai sistemoje įdiegiami pažeidžiami komponentai, tačiau pažeidžiamumo negalima išnaudoti.