Povećanje transparentnosti ranjivosti pomoću dobavljača-ADP

Od 2024. godine Agencija za Cybersecurity i bezbednost infrastrukture (CISA) implementirala je program „Vulnrichment“ za obogaćivanje podataka CVE dodatnim informacijama. Cilj je dati dodatni kontekst i pomoći braniteljima u proceni specifičnog rizika od ovih ranjivosti. Svaki CVE od cve.org ili github ima kontejner ovlašćenog izdavača podataka (ADP) gde se ovi podaci čuvaju.

Kao sledeći nivo, Siemens PSIRT se zalagao za dalje proširenje ovoga: Dobavljač-ADP (SADP), koji je pilotiran poslednjih meseci i konačno predstavljen u aprilu 2026. SADP je zgodan ako dobavljač poput Siemensa želi da doda informacije ranjivosti, koja potiče iz uzvodne zavisnosti.

Kao primer možemo uzeti CVE-2025-47809. Ova ranjivost potiče iz Vibu CodeMeter-a i ima CVSS ocenu 8,2. Siemens je za to objavio dva saveta, naime SSA-201595 i SSA-331739 kako bi obavestio kupce i dobavljače sigurnosnih skenera da određeni Siemensovi proizvodi koriste ovu komponentu i nasleđuju ranjivost. Međutim, neki ljudi ne prate direktno Siemensove bezbednosne savete i uzimaju svoje podatke, npr. sa cve.org - a sada mogu biti informisani.

Sa trenutnim SADP pristupom, očekujemo da skeneri ranjivosti mogu povećati „istinski pozitivne“ stope za pogođene Siemensove proizvode. U budućnosti, kada Siemens objavljuje i „poznate ne pogođene“ proizvode, očekujemo da će broj „lažno pozitivnih rezultata“ pasti. „Lažni pozitivni rezultati“ se javljaju kada su ranjive komponente instalirane u sistem, ali ranjivost se ne može iskoristiti.