Otevřený jazyk zranitelnosti a hodnocení - Open Vulnerability and Assessment Language

Otevřený jazyk zranitelnosti a hodnocení (OVÁL) je mezinárodní standard v oblasti bezpečnosti informací, který podporuje otevřený a veřejně dostupný bezpečnostní obsah a standardizuje přenos těchto informací napříč celým spektrem bezpečnostních nástrojů a služeb. OVAL zahrnuje jazyk používaný ke kódování podrobností systému a sortiment úložišť obsahu uchovávaných v celé komunitě. Jazyk standardizuje tři hlavní kroky procesu hodnocení:

  1. zastupování konfiguračních informací systémů pro testování;
  2. analýza systému na přítomnost zadaného stavu stroje (zranitelnost, konfigurace, stav opravy atd.); a
  3. podávání zpráv o výsledcích tohoto hodnocení.

Úložiště jsou sbírky veřejně dostupného a otevřeného obsahu, které tento jazyk využívají.

Komunita OVAL vyvinula tři schémata napsaná v jazyce Extensible Markup Language (XML ) sloužit jako rámec a slovník OVÁLNÍHO jazyka. Tato schémata odpovídají třem krokům procesu hodnocení: schématu OVAL System Characteristics pro reprezentaci systémových informací, schématu OVAL Definition pro vyjádření konkrétního stavu stroje a schématu OVAL Results pro hlášení výsledků hodnocení.

Obsah napsaný v OVÁLNÍM jazyce je umístěn v jednom z mnoha úložišť nalezených v komunitě. Jedno takové úložiště, známé jako OVÁLNÉ úložiště, je hostitelem The MITER Korporace. Je ústředním místem setkávání komunity OVAL, kde se diskutuje, analyzuje, ukládá a šíří OVÁLNÍ definice. Každá definice v úložišti OVAL určuje, zda je v systému přítomna určitá zranitelnost softwaru, problém s konfigurací, program nebo oprava.

Komunita informační bezpečnosti přispívá k rozvoji společnosti OVAL účastí na tvorbě jazyka OVAL na fóru OVAL Developers Forum a psaním definic pro úložiště OVAL prostřednictvím fóra komunity OVAL. Rada OVAL složená ze zástupců širokého spektra průmyslových, akademických a vládních organizací z celého světa dohlíží a schvaluje jazyk OVAL a sleduje zveřejňování definic hostovaných na webu OVAL. To znamená, že OVÁL, který je financován z US-CERT na Americké ministerstvo pro vnitřní bezpečnost ve prospěch komunity odráží postřehy a kombinované odborné znalosti nejširší možné sbírky profesionálů v oblasti zabezpečení a správy systémů po celém světě.

OVAL používá Protokol pro automatizaci bezpečnostního obsahu (SCAP).

OVÁLNÍ jazyk

The OVÁLNÍ jazyk standardizuje tři hlavní kroky procesu hodnocení: zastupování konfiguračních informací systémů pro testování; analýza systému na přítomnost zadaného stavu stroje (zranitelnost, konfigurace, stav opravy atd.); a podávání zpráv o výsledcích tohoto hodnocení.

OVÁLNÍ tlumočník

The OVÁLNÍ tlumočník je volně dostupná referenční implementace vytvořená s cílem ukázat, jak lze sbírat data z počítače pro testování na základě sady OVÁLNÍCH definic a poté vyhodnotit, aby se určily výsledky každé definice.

Tlumočník OVAL demonstruje použitelnost definic OVAL a mohou ji použít autoři definic k zajištění správné syntaxe a dodržování jazyka OVAL během vývoje návrhů definic. Nejedná se o plně funkční skenovací nástroj a má zjednodušující uživatelské rozhraní, ale spuštěním OVAL Interpreteru získáte seznam hodnot výsledků pro každou hodnocenou definici.

OVÁLNÉ úložiště

The OVÁLNÉ úložiště je ústředním místem setkávání komunity OVAL, kde se diskutuje, analyzuje, ukládá a rozšiřuje OVAL Definitions. Ostatní úložiště v komunitě také hostí obsah OVAL, který může zahrnovat soubory OVAL System Characteristics a OVAL Results stejně jako definice. Repozitář OVAL obsahuje všechny komunitně vyvinuté chyby zabezpečení OVAL, dodržování předpisů, inventář a opravy pro podporované operační systémy. Definice lze volně používat a implementovat do produktů a služeb informační bezpečnosti. Program ocenění OVAL Repository Top Contributor Award uděluje čtvrtletně ocenění nejlepším přispěvatelům do úložiště OVAL Repository. Repozitář je společenským úsilím a příspěvky k novému obsahu a úpravám napomáhají jeho úspěchu. Ceny slouží jako veřejné uznání podpory organizace OVAL Repository a jako pobídka pro ostatní, aby přispěli.

Organizace, které cenu obdrží, obdrží také OVAL Repository, hlavní přispěvatel logo označující čtvrtinu ceny (např. 1. čtvrtletí 2007), kterou lze použít, jak uzná za vhodné. Ocenění se udělují organizacím, které každé čtvrtletí významně přispěly novým nebo upraveným obsahem.

OVAL Board

Rada OVAL je poradním orgánem, který poskytuje cenné informace o společnosti OVAL moderátorovi (v současné době MITER). I když je důležité mít organizační podporu pro OVAL, jsou to právě jednotlivci, kteří sedí v OVAL Board a jejich vstupy a aktivity, které skutečně dělají rozdíl. Hlavní odpovědností představenstva je spolupráce s moderátorem a komunitou při definování OVAL, poskytování vstupů do strategického směru OVAL a prosazování OVAL v komunitě.

Viz také

externí odkazy