Zvýšenie transparentnosti zraniteľnosti pomocou dodávateľského ADP

Od roku 2024 Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) implementuje program „Vullrichment“ na obohatenie údajov CVE o ďalšie informácie. Cieľom je poskytnúť dodatočný kontext a pomôcť obrancom pri hodnotení špecifického rizika týchto zraniteľností. Každá CVE od cve.org alebo github má kontajner autorizovaného vydavateľa údajov (ADP), kde sú tieto údaje uložené.

Ako ďalšiu úroveň spoločnosť Siemens PSIRT obhajovala ďalšie rozšírenie tohto: Dodávateľ-ADP (SADP), ktorý bol pilotovaný v posledných mesiacoch a nakoniec predstavený v apríli 2026. SADP sa hodí, ak dodávateľ, ako je Siemens, chce pridať informácie k zraniteľnosti, ktorá pochádza z predchádzajúcej závislosti.

Ako príklad môžeme vziať CVE-2025-2884. Táto zraniteľnosť pochádza z TCG TPM2.0 a má skóre CVSS 6,6. Siemens na tento účel vydal poradenstvo, konkrétne SSA-628843 informovať zákazníkov a dodávateľov bezpečnostných skenerov, že niektoré produkty spoločnosti Siemens používajú tento komponent a zdedia zraniteľnosť. Niektorí ľudia však nedodržiavajú bezpečnostné odporúčania spoločnosti Siemens priamo a získavajú svoje informácie napr. od cve.org A teraz môžu byť tiež informovaní.

Pri súčasnom prístupe SADP očakávame, že skenery zraniteľnosti môžu zvýšiť „skutočne pozitívne“ miery pre postihnuté produkty spoločnosti Siemens. V budúcnosti, keď spoločnosť Siemens rozšíri o začlenenie údajov o produktoch „známych a neovplyvnených“ do SADP (informácie sú v súčasnosti dostupné iba prostredníctvom bezpečnostných odporúčaní a CSAF), očakávame, že počet „falošne pozitívnych“ poklesne. „Falošné pozitíva“ sa vyskytujú, keď sú zraniteľné komponenty nainštalované v systéme, ale zraniteľnosť sa nedá využiť.