利用供應商 ADP 提高漏洞透明度

自 2024 年以來，網絡安全和基礎設施安全局（CISA）已實施「Vulnrichment」計劃，以使用其他信息豐富 CVE 數據。目標是提供額外的前後關聯，並幫助防守者評估這些漏洞的特定風險。每個 CVE 來自 cve.org 或者 GitHub 具有存儲此資料的授權資料發行者 (ADP) 容器。

在下一個層面，西門子 PSIRT 正在倡導進一步擴展此項目：供應商 ADP（SADP），該計劃在過去幾個月進行試驗，最終於 2026 年 4 月推出。如果西門子這樣的供應商希望在源自上游依賴性的漏洞中添加信息，SADP 非常方便。

作為例，我們可以採用 CVE-2025-47809。此弱點源自 Wibu 程式碼測量儀，CVSS 分數為 8.2。西門子針對此發布了兩個建議，即 SSA-201595 和 SSA-331739，通知安全掃描器的客戶和供應商，某些西門子產品使用此元件並繼承該漏洞。但是，有些人不直接關注 Siemens Security Advisory，並從 cve.org 獲取他們的信息 —— 現在也可以通知他們。

使用目前的 SADP 方法，我們預計弱點掃描器可以提高受影響的西門子產品的「真正正面」率。未來，當西門子還發布「已知不受影響」產品時，我們預計「假陽性」的數量將下降。在系統中安裝弱點元件時，會發生「假陽性」，但無法利用漏洞。