Creșterea transparenței vulnerabilității cu furnizor-ADP

Începând cu 2024, Agenția de Securitate a Securității Cybersecurității și Infrastructurii (CISA) a implementat programul „Vulnrichment” pentru a îmbogăți datele CVE cu informații suplimentare. Scopul este de a oferi un context suplimentar și de a ajuta apărătorii în evaluarea riscului specific al acestor vulnerabilități. Fiecare CVE din cve.org sau github are un container autorizat de editare a datelor (ADP) în care sunt stocate aceste date.

Ca un nivel următor, Siemens PSIRT pleda pentru o extindere suplimentară a acestui lucru: Furnizorul-ADP (SADP), care a fost pilotat în ultimele luni și introdus în cele din urmă în aprilie 2026. SADP vine la îndemână dacă un furnizor precum Siemens dorește să adauge informații la o vulnerabilitate, care își are originea într-o dependență de amonte.

De exemplu, putem lua CVE-2025-47809. Această vulnerabilitate își are originea în Wibu CodeMeter și are un scor CVSS de 8.2. Siemens a lansat două avize pentru acest lucru, și anume SSA-201595 și SSA-331739 pentru a informa clienții și furnizorii de scanere de securitate că anumite produse Siemens folosesc această componentă și moștenesc vulnerabilitatea. Cu toate acestea, unii oameni nu urmăresc în mod direct Siemens Security Advisories și își iau informațiile, de exemplu de pe cve.org - și acum pot fi informați și ei.

Cu abordarea actuală SADP, ne așteptăm ca scanerele de vulnerabilitate să poată crește ratele „adevărate pozitive” pentru produsele Siemens afectate. În viitor, când Siemens publică și produse „cunoscute neafectate”, ne așteptăm ca numărul de „fals pozitive” să scadă. „False pozitive” apar atunci când componentele vulnerabile sunt instalate într-un sistem, dar vulnerabilitatea nu poate fi exploatată.