Zwiększenie przejrzystości luk w zabezpieczeniach dzięki dostawcy ADP

Od 2024 r. Agencja Cybersecurity i Bezpieczeństwa Infrastruktury (CISA) wdraża program „Vullrichment”, aby wzbogacić dane CVE o dodatkowe informacje. Celem jest nadanie dodatkowego kontekstu i pomoc obrońcom w ocenie konkretnego ryzyka tych luk. Każde CVE od cve.org lub github posiada kontener autoryzowanego wydawcy danych (ADP), w którym przechowywane są te dane.

Jako kolejny poziom Siemens PSIRT opowiadał się za dalszym rozszerzeniem tego problemu: Dostawca-ADP (SADP), który był pilotowany w ostatnich miesiącach i ostatecznie wprowadzony w kwietniu 2026 r. SADP przydaje się, jeśli dostawca taki jak Siemens chce dodać informacje do luki w zabezpieczeniach, która pochodzi z zależności poprzedzającej.

Jako przykład możemy wziąć CVE-2025-2884. Ta luka pochodzi z TCG TPM2.0 i ma wynik CVSS 6,6. Siemens wydał w tym celu poradę, a mianowicie SSA-628843 informowanie klientów i dostawców skanerów bezpieczeństwa, że niektóre produkty firmy Siemens używają tego komponentu i dziedziczą lukę w zabezpieczeniach. Jednak niektóre osoby nie stosują się bezpośrednio do doradztwa bezpieczeństwa firmy Siemens i nie pobierają informacji np. od cve.org — i oni mogą być teraz informowani.

Przy obecnym podejściu SADP spodziewamy się, że skanery podatności mogą zwiększyć „prawdziwie pozytywne” wskaźniki dla dotkniętych produktami Siemens. W przyszłości, gdy Siemens rozszerzy się o włączenie do SADP danych o produktach „znanych i nie dotkniętych” (informacje dostępne obecnie tylko w poradach bezpieczeństwa i CSAF), spodziewamy się zmniejszenia liczby „fałszywie alarmów”. „Fałszywe alarmy” występują, gdy wrażliwe komponenty są zainstalowane w systemie, ale luki nie można wykorzystać.