Повышение прозрачности уязвимостей с помощью Supplier-ADP

С 2024 года Агентство по кибербезопасности и инфраструктурной безопасности (CISA) реализует программу «Vulnrichment» для обогащения данных CVE дополнительной информацией. Цель состоит в том, чтобы предоставить дополнительный контекст и помочь правозащитникам оценить конкретный риск этих уязвимостей. Каждый CVE от cve.org или на github есть контейнер Authorized Data Publisher (ADP), в котором хранятся эти данные.

В качестве нового уровня компания Siemens PSIRT выступала за дальнейшее расширение этой сферы: Поставщик — ADP (SADP), который был опробован в последние месяцы и, наконец, представлен в апреле 2026 года. SADP пригодится, если такой поставщик, как Siemens, хочет добавить информацию об уязвимости, вызванной зависимостью от исходной сети.

В качестве примера можно взять CVE-2025-47809. Эта уязвимость возникла в Wibu CodeMeter и имеет оценку CVSS 8,2. Компания Siemens выпустила две рекомендации по этому вопросу, а именно ССА-201595 а также SSA-331739 информировать клиентов и поставщиков сканеров безопасности о том, что в некоторых продуктах Siemens используется этот компонент и эта уязвимость наследуется. Однако некоторые пользователи не следуют рекомендациям Siemens Security Advisories напрямую и получают информацию, например, с сайта cve.org, и теперь они тоже могут получать информацию.

Мы ожидаем, что благодаря нынешнему подходу SADP сканеры уязвимостей могут повысить «истинно положительные» показатели уязвимостей для затронутых продуктов Siemens. В будущем, когда Siemens расширит использование в SADP данных об изделиях, «заведомо не затронутых» (в настоящее время информация доступна только в рекомендациях по безопасности и CSAF), мы ожидаем, что количество «ложных срабатываний» снизится. «Ложные срабатывания» возникают при установке в систему уязвимых компонентов, но уязвимость не может быть использована.