Ievainojamības pārredzamības palielināšana ar piegādātāju-ADP

Kopš 2024. gada Cybersecurity un infrastruktūras Security aģentūra (CISA) ir ieviesusi programmu “Vullrichment”, lai bagātinātu CVE datus ar papildu informāciju. Mērķis ir sniegt papildu kontekstu un palīdzēt aizstāvjiem novērtēt šo ievainojamību specifisko risku. Katrs CVE no cve.org vai github ir autorizētais datu izdevēja (ADP) konteiners, kurā šie dati tiek glabāti.

Kā nākamo līmeni Siemens PSIRT iestājās par turpmāku tā paplašināšanu: Piegādātājs-ADP (SADP), kas tika izmēģināts pēdējos mēnešos un beidzot ieviests 2026. gada aprīlī. SADP ir noderīgs, ja tāds piegādātājs kā Siemens vēlas pievienot informāciju ievainojamībai, kas rodas augšupējā atkarībā.

Kā piemēru mēs varam ņemt CVE-2025-47809. Šī ievainojamība rodas Wibu CodeMeter, un tās CVSS rādītājs ir 8,2. Siemens šim nolūkam izlaida divus padomus, proti SSA-201595 un SSA-331739 lai informētu klientus un drošības skeneru pārdevējus, ka daži Siemens produkti izmanto šo komponentu un manto ievainojamību. Tomēr daži cilvēki tieši neievēro Siemens Security ieteikumus un ņem savu informāciju, piemēram, no cve.org, un tagad viņi var tikt informēti arī par to.

Izmantojot pašreizējo SADP pieeju, mēs sagaidām, ka ievainojamības skeneri var palielināt “patiesi pozitīvos” rādītājus ietekmētajiem Siemens produktiem. Nākotnē, kad Siemens paplašinās, iekļaujot SADP “zināmus neietekmētus” produktu datus (informācija pašlaik pieejama tikai drošības ieteikumos un CSAF), mēs sagaidām, ka “viltus pozitīvo” skaits samazināsies. “Viltus pozitīvi rezultāti” rodas, ja sistēmā ir instalēti neaizsargāti komponenti, taču ievainojamību nevar izmantot.