Tăng tính minh bạch về lỗ hổng với nhà cung cấp-ADP

Kể từ năm 2024, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã triển khai chương trình “Vulnrichment” để làm phong phú thêm dữ liệu CVE với thông tin bổ sung. Mục tiêu là cung cấp bối cảnh bổ sung và giúp các nhà bảo vệ đánh giá rủi ro cụ thể của các lỗ hổng này. Mỗi CVE từ cve.org hoặc là github có một container Nhà xuất bản dữ liệu được ủy quyền (ADP) nơi dữ liệu này được lưu trữ.

Ở cấp độ tiếp theo, Siemens PSIRT đã ủng hộ việc mở rộng thêm điều này: Nhà cung cấp-ADP (SADP), đã được thử nghiệm trong những tháng qua và cuối cùng được giới thiệu vào tháng 4 năm 2026. SADP rất hữu ích nếu một nhà cung cấp như Siemens muốn thêm thông tin vào một lỗ hổng, bắt nguồn từ sự phụ thuộc ngược dòng.

Ví dụ, chúng ta có thể lấy CVE-2025-47809. Lỗ hổng này bắt nguồn từ Wibu CodeMeter và có điểm CVSS là 8.2. Siemens đã phát hành hai lời khuyên cho việc này, cụ thể là SSA-201595 và SSA-331739 để thông báo cho khách hàng và nhà cung cấp máy quét bảo mật rằng một số sản phẩm của Siemens sử dụng thành phần này và thừa hưởng lỗ hổng. Tuy nhiên, một số người không theo dõi trực tiếp lời khuyên bảo mật của Siemens và lấy thông tin của họ, ví dụ từ cve.org - và giờ đây họ cũng có thể được thông báo.

Với cách tiếp cận SADP hiện tại, chúng tôi hy vọng rằng các máy quét lỗ hổng có thể làm tăng tỷ lệ “tích cực thực sự” cho các sản phẩm của Siemens bị ảnh hưởng. Trong tương lai, khi Siemens cũng công bố các sản phẩm “được biết đến không bị ảnh hưởng”, chúng tôi kỳ vọng số lượng “dương tính giả” sẽ giảm. “Kết quả dương tính giả” xảy ra khi các thành phần dễ bị tổn thương được cài đặt trong một hệ thống, nhưng lỗ hổng không thể được khai thác.