使用 Supplier-ADP 提高漏洞透明度

自 2024 年以来，网络安全和基础设施安全局 (CISA) 实施了 “Vulnrichment” 计划，用更多信息丰富 CVE 数据。目标是提供更多背景信息，帮助捍卫者评估这些漏洞的具体风险。来自的每个 CVE cve.org 要么 gith 有一个存储此数据的授权数据发布者 (ADP) 容器。

更重要的是，西门子PSIRT主张进一步扩大这一范围：供应商ADP（SADP），该计划在过去几个月中进行了试点，最终于2026年4月推出。如果像西门子这样的供应商想要向源自上游依赖关系的漏洞添加信息，SADP 就会派上用场。

我们可以以 CVE-2025-47809 为例。该漏洞起源于 Wibu CodeMeter，CVSS 分数为 8.2。西门子为此发布了两份公告，即 SSA-201595 和 SSA-331739，以告知安全扫描器的客户和供应商，某些西门子产品使用该组件并继承了该漏洞。但是，有些人不直接关注 Siemens Security Advisories，而是从cve.org等处获取信息，现在他们也可以得到通知。

根据当前的SADP方法，我们预计漏洞扫描程序可以提高受影响的Siemens产品的 “真正阳性” 率。将来，当西门子还发布 “已知未受影响” 的产品时，我们预计 “误报” 的数量将下降。当系统中安装了易受攻击的组件时，就会出现 “误报”，但无法利用该漏洞。