Підвищення прозорості вразливості за допомогою постачальника-ADP

З 2024 року Агентство з кібербезпеки та інфраструктурної безпеки (CISA) впроваджує програму «Vulnrichment» для збагачення даних CVE додатковою інформацією. Мета полягає в тому, щоб надати додатковий контекст і допомогти захисникам оцінити специфічний ризик цих вразливостей. Кожен CVE від cve.org або github має контейнер авторизованого видавця даних (ADP), де зберігаються ці дані.

Як наступний рівень, Siemens PSIRT виступав за подальше розширення цього: Постачальник-АДП (SADP), який був пілотований в останні місяці і остаточно введений у квітні 2026 року. SADP стане в нагоді, якщо такий постачальник, як Siemens, хоче додати інформацію до вразливості, яка бере свій початок у залежності від висхідного потоку.

Як приклад можна взяти CVE-2025-47809. Ця вразливість бере свій початок у Wibu CodeMeter і має оцінку CVSS 8,2. З цього приводу Siemens випустила дві рекомендації, а саме ССА-201595 і ССА-331739 інформувати клієнтів і постачальників сканерів безпеки про те, що певні продукти Siemens використовують цей компонент і успадковують вразливість. Однак деякі люди не дотримуються рекомендацій Siemens Security Advisories безпосередньо і беруть їх інформацію, наприклад, з cve.org — і тепер вони також можуть бути поінформовані.

З поточним підходом SADP ми очікуємо, що сканери вразливостей можуть збільшити «справжні позитивні» показники для постраждалих продуктів Siemens. У майбутньому, коли Siemens розшириться, щоб включити в SADP дані про продукти «відомі, не постраждалі» (інформація наразі доступна лише через консультації з безпеки та CSAF), ми очікуємо, що кількість «помилкових позитивних результатів» знизиться. «Помилкові позитивні результати» виникають, коли вразливі компоненти встановлені в системі, але вразливість не може бути використана.