Участники международного альянса OASIS работают над стандартизацией информационных бюллетеней об уязвимостях, публикуемых вендорами.

Эта некоммерческая организация занимается вопросами стандартизации структурированной информации; она объединяет IT-профессионалов (Oracle, Microsoft, IBM, Cisco, Adobe, Intel, Hewlett-Packard, Dell, SAP, VeriSign, AT&T, SafeNet, VMware, Symantec), а также представителей профильных организаций (CERT/CC, NIST, американского центра безопасного Интернета) и других заинтересованных сторон — финансовых, образовательных и исследовательских учреждений, правительственных ведомств.

В целях унификации формата для раскрытия такой информации техническому комитету, созданному на базе OASIS, было поручено разработать фреймворк для публикации ИБ-бюллетеней — Common Security Advisory Framework, CSAF. По замыслу инициативной группы внедрение CSAF позволит расширить возможности для обмена и использования информации о продуктах, а также обеспечит создание упорядоченных, машиночитаемых ИБ-бюллетеней, пригодных для массового потребления.

За основу CSAF взят открытый стандарт CVRF, созданный IT-консорциумом ICASI (по укреплению безопасности Интернета) и успешно освоенный рядом вендоров, в частности Oracle, Microsoft и Cisco. ICASI предоставил OASIS версию 1.1 своего фреймворка для использования в ходе разработки CSAF.

«Защитники должны иметь возможность быстро и в автоматическом режиме оценивать влияние уязвимости на любой уже развернутый ими продукт, — комментирует Арт Мэнион (Art Manion), технический руководитель CERT/CC, работающего на базе института программной инженерии при университете Карнеги — Меллона. — Пора перейти от простого раскрытия уязвимостей к обеспечению возможностей для потребления этой информации и реагирования в автоматическом режиме, без использования средств обработки семантики, специфичных для каждого источника».

«Ни один программный или аппаратный продукт не застрахован от уязвимостей, — вторит Мэниону Омар Сантос (Omar Santos) из Cisco, возглавивший технический комитет OASIS по разработке CSAF. — По идее CSAF должен облегчить администраторам идентификацию и устранение известных уязвимостей в их сетях, независимо от используемых платформ».

«Принятие этого стандарта участниками OASIS и его пропаганда через CSAF поможет обеспечить его освоение не только ИБ-компаниями, но также клиентами, которым он расширит возможности для систематической оценки уязвимостей и расстановки приоритетов при патчинге, — отметила в свою очередь Мэри-Энн Дэвидсон (Mary Ann Davidson), директор по ИБ в Oracle. — Помощь в виде CSAF особенно ценна в условиях роста числа уязвимостей, выявляемых в широко используемых компонентах с открытым исходным кодом».

Категории: Главное, Кибероборона, Уязвимости