Tedarikçi-ADP ile güvenlik açığı şeffaflığını artırma

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 2024'ten bu yana, CVE verilerini ek bilgilerle zenginleştirmek için “Vulnrichment” programını uygulamıştır. Amaç, ek bağlam sağlamak ve savunuculara bu güvenlik açıklarının spesifik riskini değerlendirmede yardımcı olmaktır. Her bir CVE cve.org veya github Bu verilerin depolandığı bir Yetkili Veri Yayıncısı (ADP) kabına sahiptir.

Bir sonraki seviye olarak, Siemens PSIRT bunun daha da genişletilmesini savunuyordu: Son aylarda pilot olarak uygulanan ve nihayet Nisan 2026'da tanıtılan Tedarikçi-ADP (SADP). Siemens gibi bir tedarikçi, yukarı akış bağımlılığından kaynaklanan bir güvenlik açığına bilgi eklemek isterse SADP kullanışlı olur.

Örnek olarak, CVE-2025-47809'u alabiliriz. Bu güvenlik açığı Wibu CodeMeter'den kaynaklanmaktadır ve 8.2 CVSS puanına sahiptir. Siemens, güvenlik tarayıcıları için müşterileri ve satıcıları belirli Siemens ürünlerinin bu bileşeni kullandığı ve güvenlik açığını devraldığı konusunda bilgilendirmek için bunun için SSA-201595 ve SSA-331739 olmak üzere iki tavsiye yayınladı. Ancak bazı kişiler Siemens Security Advisors'ı doğrudan takip etmiyor ve bilgilerini örneğin cve.org adresinden alıyor ve artık kendileri de bilgilendirilebiliyor.

Mevcut SADP yaklaşımıyla, güvenlik açığı tarayıcılarının etkilenen Siemens ürünleri için “gerçek pozitif” oranları artırmasını bekliyoruz. Gelecekte, Siemens “bilinmeyen etkilenen” ürünleri de yayınladığında, “yanlış pozitif” sayısının düşmesini bekliyoruz. “Yanlış pozitifler”, savunmasız bileşenler bir sisteme yüklendiğinde ortaya çıkar, ancak güvenlik açığından yararlanılamaz.