Creșterea transparenței vulnerabilității cu furnizor-ADP

Începând cu 2024, Agenția de Securitate a Securității Cybersecurității și Infrastructurii (CISA) a implementat programul „Vulnrichment” pentru a îmbogăți datele CVE cu informații suplimentare. Scopul este de a oferi un context suplimentar și de a ajuta apărătorii în evaluarea riscului specific al acestor vulnerabilități. Fiecare CVE din cve.org sau github are un container Authorized Data Publisher (ADP) în care sunt stocate aceste date.

Ca un nivel următor, Siemens PSIRT pleda pentru o extindere suplimentară a acestui lucru: Furnizor-ADP (SADP), care a fost pilotat în ultimele luni și introdus în cele din urmă în aprilie 2026. SADP vine la îndemână dacă un furnizor precum Siemens dorește să adauge informații la o vulnerabilitate, care își are originea într-o dependență de amonte.

Ca exemplu, putem lua CVE-2025-2884. Această vulnerabilitate provine din TCG TPM2.0 și are un scor CVSS de 6.6. Siemens a lansat un aviz în acest sens, și anume SSA-628843 pentru a informa clienții și furnizorii de scanere de securitate că anumite produse Siemens utilizează această componentă și moștenesc vulnerabilitatea. Cu toate acestea, unele persoane nu urmăresc în mod direct Siemens Security Advisories și își iau informațiile, de exemplu de la cve.org Și acum pot fi informați.

Cu abordarea actuală SADP, ne așteptăm ca scanerele de vulnerabilitate să poată crește ratele „adevărate pozitive” pentru produsele Siemens afectate. În viitor, atunci când Siemens se extinde pentru a încorpora date despre produse „cunoscute-neafectate” în SADP (informații disponibile în prezent numai prin avize de securitate și CSAF), ne așteptăm ca numărul de „fals pozitive” să scadă. „False pozitive” apar atunci când componentele vulnerabile sunt instalate într-un sistem, dar vulnerabilitatea nu poate fi exploatată.