Ievainojamības pārredzamības palielināšana ar piegādātāju-ADP

Kopš 2024. gada Cybersecurity un infrastruktūras Security aģentūra (CISA) ir ieviesusi programmu “Vullrichment”, lai bagātinātu CVE datus ar papildu informāciju. Mērķis ir sniegt papildu kontekstu un palīdzēt aizstāvjiem novērtēt šo ievainojamību specifisko risku. Katrs CVE no cve.org vai github ir autorizētā datu izdevēja (ADP) konteiners, kurā šie dati tiek glabāti.

Kā nākamo līmeni Siemens PSIRT iestājās par tā turpmāku paplašināšanu: Piegādātāji-ADP (SADP), kas tika izmēģināts pēdējos mēnešos un beidzot ieviests 2026. gada aprīlī. SADP ir noderīgs, ja tāds piegādātājs kā Siemens vēlas pievienot informāciju ievainojamībai, kas rodas augšupējā atkarībā.

Kā piemēru mēs varam ņemt CVE-2025-47809. Šī ievainojamība rodas Wibu CodeMeter, un tās CVSS rādītājs ir 8,2. Siemens šim nolūkam izlaida divus ieteikumus, proti, SSA-201595 un SSA-331739, lai informētu klientus un drošības skeneru pārdevējus, ka daži Siemens produkti izmanto šo komponentu un manto ievainojamību. Tomēr daži cilvēki tieši neievēro Siemens Security ieteikumus un ņem savu informāciju, piemēram, no cve.org, un tagad viņi var tikt informēti arī par to.

Izmantojot pašreizējo SADP pieeju, mēs sagaidām, ka ievainojamības skeneri var palielināt “patiesi pozitīvo” līmeni ietekmētajiem Siemens produktiem. Nākotnē, kad Siemens publicēs arī “zināmi neietekmētos” produktus, mēs sagaidām, ka “viltus pozitīvo” skaits samazināsies. “Viltus pozitīvi rezultāti” rodas, ja sistēmā ir instalēti neaizsargāti komponenti, taču ievainojamību nevar izmantot.