Povečanje preglednosti ranljivosti z ADP dobaviteljev

Agencija za kibernetsko Security in varnost infrastrukture (CISA) od leta 2024 izvaja program »Vullrichment« za obogatitev podatkov CVE z dodatnimi informacijami. Cilj je dati dodaten kontekst in pomagati zagovornikom pri oceni specifičnega tveganja teh ranljivosti. Vsak CVE iz cve.org ali github ima vsebnik Pooblaščeni založnik podatkov (ADP), kjer so ti podatki shranjeni.

Kot naslednjo stopnjo je Siemens PSIRT zagovarjal nadaljnje razširitev tega: Dobavitelj-ADP (SADP), ki je bila pilotirana v zadnjih mesecih in končno uvedena aprila 2026. SADP pride prav, če želi dobavitelj, kot je Siemens, dodati informacije ranljivosti, ki izvira iz odvisnosti od zgornje verige.

Kot primer lahko vzamemo CVE-2025-47809. Ta ranljivost izvira iz Wibu CodeMeter in ima oceno CVSS 8,2. Siemens je za to izdal dva nasveta, in sicer SSA-201595 in SSA-331739 obveščati stranke in prodajalce varnostnih skenerjev, da nekateri Siemensovi izdelki uporabljajo to komponento in podedujejo ranljivost. Vendar nekateri ne upoštevajo neposredno Siemensovih varnostnih nasvetov in svoje podatke prevzamejo, npr. s spletnega mesta cve.org — zdaj pa so lahko tudi obveščeni.

S trenutnim pristopom SADP pričakujemo, da lahko skenerji ranljivosti povečajo »resnično pozitivne« stopnje za prizadete Siemensove izdelke. V prihodnosti, ko se Siemens razširi na vključitev podatkov o izdelkih, ki so na voljo v SADP, ki so trenutno na voljo samo prek varnostnih nasvetov in CSAF), pričakujemo, da se bo število »lažno pozitivnih rezultatov« zmanjšalo. »Lažni pozitivni rezultati« se pojavijo, ko so ranljive komponente nameščene v sistemu, vendar ranljivosti ni mogoče izkoristiti.