Zwiększenie przejrzystości luk w zabezpieczeniach dzięki dostawcy ADP

Od 2024 r. Agencja Cybersecurity i Bezpieczeństwa Infrastruktury (CISA) wdraża program „Vullrichment”, aby wzbogacić dane CVE o dodatkowe informacje. Celem jest nadanie dodatkowego kontekstu i pomoc obrońcom w ocenie konkretnego ryzyka tych luk. Każde CVE od cve.org albo github posiada kontener autoryzowanego wydawcy danych (ADP), w którym przechowywane są te dane.

Jako kolejny poziom Siemens PSIRT opowiadał się za dalszym rozszerzeniem tej kwestii: dostawca-ADP (SADP), który został pilotowany w ostatnich miesiącach i ostatecznie wprowadzony w kwietniu 2026 r. SADP przydaje się, jeśli dostawca taki jak Siemens chce dodać informacje do luki w zabezpieczeniach, która pochodzi z zależności poprzedzającej.

Jako przykład możemy wziąć CVE-2025-47809. Ta luka pochodzi z Wibu CodeMeter i ma wynik CVSS 8,2. Siemens opublikował w tym celu dwie porady, mianowicie SSA-201595 i SSA-331739, aby poinformować klientów i dostawców skanerów bezpieczeństwa, że niektóre produkty Siemens używają tego komponentu i dziedziczą lukę w zabezpieczeniach. Jednak niektóre osoby nie stosują się bezpośrednio do doradztwa Security firmy Siemens i nie pobierają informacji np. z cve.org — i teraz mogą być informowani.

Przy obecnym podejściu SADP spodziewamy się, że skanery podatności mogą zwiększyć „prawdziwie pozytywne” wskaźniki dla dotkniętych produktami Siemens. W przyszłości, kiedy Siemens publikuje również produkty „znane, których nie ma wpływu”, spodziewamy się spadku liczby „fałszywie pozytywnych”. „Fałszywe alarmy” występują, gdy wrażliwe komponenty są zainstalowane w systemie, ale luki nie można wykorzystać.