Povečanje preglednosti ranljivosti z ADP dobaviteljev

Agencija za kibernetsko Security in varnost infrastrukture (CISA) od leta 2024 izvaja program »Vullrichment« za obogatitev podatkov CVE z dodatnimi informacijami. Cilj je dati dodaten kontekst in pomagati zagovornikom pri oceni specifičnega tveganja teh ranljivosti. Vsak CVE iz cve.org ali github ima vsebnik pooblaščenih izdajateljev podatkov (ADP), kjer so ti podatki shranjeni.

Kot naslednjo stopnjo je Siemens PSIRT zagovarjal nadaljnjo razširitev tega: dobavitelj-ADP (SADP), ki je bil pilotiran v zadnjih mesecih in končno predstavljen aprila 2026. SADP pride prav, če želi dobavitelj, kot je Siemens, dodati informacije ranljivosti, ki izvira iz odvisnosti od zgornje verige.

Kot primer lahko vzamemo CVE-2025-47809. Ta ranljivost izvira iz Wibu CodeMeter in ima oceno CVSS 8,2. Siemens je za to izdal dva nasveta, in sicer SSA-201595 in SSA-331739, da bi kupce in prodajalce varnostnih skenerjev obveščal, da nekateri Siemensovi izdelki uporabljajo to komponento in podedujejo ranljivost. Vendar nekateri ne upoštevajo neposredno Siemensovih varnostnih nasvetov in svoje podatke prevzamejo, npr. s spletnega mesta cve.org — zdaj pa so lahko tudi obveščeni.

S trenutnim pristopom SADP pričakujemo, da lahko skenerji ranljivosti povečajo »resnično pozitivne« stopnje za prizadete Siemensove izdelke. V prihodnosti, ko Siemens objavlja tudi izdelke, ki so »znani, ki niso prizadeti«, pričakujemo, da se bo število »lažno pozitivnih rezultatov« zmanjšalo. »Lažni pozitivni rezultati« se pojavijo, ko so ranljive komponente nameščene v sistemu, vendar ranljivosti ni mogoče izkoristiti.