Aumentando a transparência da vulnerabilidade com o Supplier-ADP

Desde 2024, a Cybersecurity and Infrastructure Security Agency (CISA) implementou o programa “Vulnrichment” para enriquecer os dados do CVE com informações adicionais. O objetivo é fornecer contexto adicional e ajudar os defensores a avaliar o risco específico dessas vulnerabilidades. Cada CVE de cve.org ou github tem um contêiner de Publicador Autorizado de Dados (ADP) onde esses dados são armazenados.

Como próximo nível, a Siemens PSIRT estava defendendo uma extensão adicional disso: The Supplier-ADP (SADP), que foi testado nos últimos meses e finalmente introduzido em abril de 2026. O SADP é útil se um fornecedor como a Siemens quiser adicionar informações a uma vulnerabilidade, que se origina em uma dependência inicial.

Como exemplo, podemos pegar o CVE-2025-47809. Essa vulnerabilidade se origina no Wibu CodeMeter e tem uma pontuação CVSS de 8,2. A Siemens divulgou dois avisos sobre isso, a saber, o SSA-201595 e o SSA-331739, para informar aos clientes e fornecedores de scanners de segurança que determinados produtos da Siemens usam esse componente e herdam a vulnerabilidade. No entanto, algumas pessoas não seguem o Siemens Security Advisories diretamente e não obtêm suas informações, por exemplo, do site cve.org — e agora também podem ser informadas.

Com a abordagem atual do SADP, esperamos que os scanners de vulnerabilidade possam aumentar as taxas de “verdadeiros positivos” dos produtos afetados da Siemens. No futuro, quando a Siemens também publicar produtos “conhecidos não afetados”, esperamos que o número de “falsos positivos” diminua. Os “falsos positivos” ocorrem quando componentes vulneráveis são instalados em um sistema, mas a vulnerabilidade não pode ser explorada.