利用供應商 ADP 提高漏洞透明度

自 2024 年以來，網絡安全和基礎設施安全局（CISA）已實施「Vulnrichment」計劃，以使用其他信息豐富 CVE 數據。目標是提供額外的前後關聯，並幫助防守者評估這些漏洞的特定風險。每個 CVE 來自 cve.org 或 github 具有存儲此數據的授權數據發行器 (ADP) 容器。

為一個下一個層次，西門子 PSIRT 正在倡導進一步擴展這個項目： 供應商-行政管理人員 (SADP)，在過去幾個月進行試驗，最終於 2026 年 4 月推出。如果西門子這樣的供應商希望在源自上游依賴性的漏洞中添加信息，SADP 非常方便。

作為一個例子，我們可以以 環球影片-2025-2884。此弱點源自 TCG TPM2.0，CVSS 得分為 6.6。西門子就此發布了一個諮詢，即 薩斯亞州-628843 通知安全掃描器的客戶和供應商，某些西門子產品使用此元件並繼承該漏洞。但是，有些人並沒有直接遵循西門子安全建議，並取得他們的信息，例如從 cve.org — 現在也可以通知他們。

使用目前的 SADP 方法，我們預計弱點掃描器可以提高受影響的西門子產品的「真正正面」率。未來，當西門子擴展將「已知不受影響」的產品數據整合到 SADP 中時（目前僅通過安全諮詢和 CSAF 獲得的信息），我們預計「假陽性」的數量將下降。在系統中安裝弱點元件時，會發生「假陽性」，但無法利用漏洞。