Tedarikçi-ADP ile Güvenlik Açığı Şeffaflığını Artırmak

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 2024'ten bu yana, CVE verilerini ek bilgilerle zenginleştirmek için “Vulnrichment” programını uygulamıştır. Amaç, ek bağlam sağlamak ve savunuculara bu güvenlik açıklarının spesifik riskini değerlendirmede yardımcı olmaktır. Her bir CVE cve.org veya github, bu verilerin depolandığı bir Yetkili Veri Yayıncısı (ADP) kabına sahiptir.

Bir sonraki seviye olarak, Siemens PSIRT bunun daha da genişletilmesini savunuyordu: Tedarikçi-ADP (SADP), son aylarda pilot olarak uygulanan ve nihayet Nisan 2026'da tanıtıldı. Siemens gibi bir tedarikçi, yukarı akış bağımlılığından kaynaklanan bir güvenlik açığına bilgi eklemek isterse SADP kullanışlı olur.

Örnek olarak, CVE-2025-47809'u alabiliriz. Bu güvenlik açığı Wibu CodeMeter'den kaynaklanmaktadır ve 8.2 CVSS puanına sahiptir. Siemens bunun için iki tavsiye yayınladı, yani SSA-201595 ve SSA-331739 Güvenlik tarayıcıları için müşterileri ve satıcıları, bazı Siemens ürünlerinin bu bileşeni kullandığı ve güvenlik açığını devraldığı konusunda bilgilendirmek. Bununla birlikte, bazı kişiler Siemens Security Advisors'ı doğrudan takip etmiyor ve bilgilerini örneğin cve.org adresinden alıyor ve artık onlar da bilgilendirilebiliyor.

Mevcut SADP yaklaşımıyla, güvenlik açığı tarayıcılarının etkilenen Siemens ürünleri için “gerçek pozitif” oranları artırmasını bekliyoruz. Gelecekte, Siemens “bilinen-etkilenmeyen” ürün verilerini SADP'ye dahil etmek için genişlediğinde (bilgiler şu anda yalnızca güvenlik tavsiyeleri ve CSAF aracılığıyla mevcuttur), “yanlış pozitif” sayısının düşmesini bekliyoruz. “Yanlış pozitifler”, savunmasız bileşenler bir sisteme yüklendiğinde ortaya çıkar, ancak güvenlik açığından yararlanılamaz.