Повышение прозрачности уязвимостей с помощью Supplier-ADP

С 2024 года Агентство по кибербезопасности и инфраструктурной безопасности (CISA) реализует программу «Vulnrichment» для обогащения данных CVE дополнительной информацией. Цель состоит в том, чтобы предоставить дополнительный контекст и помочь правозащитникам оценить конкретный риск этих уязвимостей. Каждый CVE от cve.org или же github имеет контейнер Authorized Data Publisher (ADP), в котором хранятся эти данные.

В качестве нового уровня Siemens PSIRT выступала за дальнейшее расширение этой модели: модель Supplier-ADP (SADP), которая была опробована в последние месяцы и, наконец, представлена в апреле 2026 года. SADP пригодится, если такой поставщик, как Siemens, хочет добавить информацию об уязвимости, вызванной зависимостью от исходной сети.

В качестве примера можно взять CVE-2025-47809. Эта уязвимость возникла в Wibu CodeMeter и имеет оценку CVSS 8,2. Компания Siemens выпустила две рекомендации по этому вопросу, а именно SSA-201595 и SSA-331739, чтобы проинформировать клиентов и поставщиков сканеров безопасности о том, что некоторые продукты Siemens используют этот компонент и унаследовали уязвимость. Однако некоторые пользователи не следуют рекомендациям Siemens Security Advisories напрямую и получают информацию, например, с сайта cve.org, и теперь они тоже могут получать информацию.

Мы ожидаем, что благодаря нынешнему подходу SADP сканеры уязвимостей могут повысить «истинно положительные» показатели уязвимостей для затронутых продуктов Siemens. В будущем, когда Siemens также опубликует продукты, «известные, не затронутые», мы ожидаем, что количество «ложных срабатываний» снизится. «Ложные срабатывания» возникают при установке в систему уязвимых компонентов, но уязвимость не может быть использована.