В Fedora 14 появится поддержка OpenSCAP

2010-10-24

Разработчики дистрибутива Fedora рассказали об одном из интересных новшеств грядущего релиза Fedora 14 — интегрированной поддержке Security Content Automation Protocol (SCAP).

SCAP представляет собой набор стандартов по организации информации, относящейся к безопасности вычислительных систем. Сюда относятся прежде всего данные об уязвимостях в программном обеспечении и потенциально опасных ошибках в конфигурации. Используя возможности SCAP, разработчики могут создавать инструменты для контроля обновлений безопасности, проверки наличия необходимых патчей, сканирования ПО системы на предмет известных уязвимостей, автоматического обнаружения следов взлома и т.п. Стандарты SCAP предоставляют общий язык, на котором осуществляется взаимодействие специалистов по безопасности, обнаруживающих уязвимости, вендоров, эти уязвимости закрывающих, и автоматизированных средств аудита безопасности конечных систем, упрощающих работу системных администраторов.

Группа стандартов SCAP была разработана Национальным Институтом Стандартов и Технологий США (NIST) как единая открытая альтернатива множеству закрытых форматов, используемых в различных проприетарных системах обеспечения безопасности. Ключевыми компонентами SCAP являются:

  • Common Vulnerabilities and Exposures (CVE) — единый каталог уязвимостей, позволяющий однозначно идентифицировать их и впоследствии ссылаться на конкретный CVE ID.
  • Common Configuration Enumeration (CCE) — единый каталог рекомендаций по настройке ПО.
  • Common Platform Enumeration (CPE) — схема идентификации программных продуктов, позволяющая, в частности, точно указать подмножество программ, подверженных воздействию конкретной уязвимости.
  • Common Vulnerability Scoring System (CVSS) — система оценки степени опасности различных уязвимостей.
  • Extensible Configuration Checklist Description Format (XCCDF) — основанный на XML формат описания алгоритмов автоматизированных проверок безопасности.
  • Open Vulnerability and Assessment Language (OVAL) — также основанный на XML язык, предназначенный для автоматизированной оценки безопасности систем, предоставляющий средства для описания исследуемой системы, анализа ее состояния (наличие уязвимостей, состояние конфигурации, присутствие патчей) и формирования отчетов о результатах проверки.

В состав Fedora 14 будет включен открытый фреймворк OpenSCAP, упрощающий разработку инструментов, работающих со стандартами SCAP, а также ряд готовых утилит, основанных на этом фреймворке:

  • oscap-scan — консольный сканер безопасности системы, работающий с форматами OVAL и XCCDF.
  • secstate — инструмент для упрощения процесса сертификации и аккредитации Linux-систем, предоставляющий механизмы проверки и восстановления настроек системы.
  • firstaidkit-plugin-openscap — плагин для утилиты автоматического восстановления системы FirstAidKit, предоставляющий возможности автоматизированного аудита системы.
  • scap-workbench — графический инструмент, позволяющий редактировать информацию в форматах SCAP, выполнять сканирование системы и формировать отчеты.

Компания Red Hat уже давно использует CVE для идентификации уязвимостей, а каждое обновление безопасности сопровождается соответствующим OVAL-описанием, что значительно упрощает процесс обеспечения безопасности основанных на Fedora систем средствами нового инструментария.