Normierte Sicherheitslösungen von Red Hat
Sicherheitswarnmeldungen bei RHEL (Red Hat Enterprise Linux) 3 und 4 halten sich an die Definitionen der Open Vulnerability And Assesment Language (OVAL).
- Bernd Butscheit
Red Hats Sicherheitswarnmeldungen fĂĽr seine Enterprise-Linux-Versionen 3 und 4 halten sich kĂĽnftig an die OVAL (Open Vulnerability and Assessment Language). Die OVAL ist ein Standard fĂĽr den Austausch von sicherheitsrelevanten Informationen. Drei in XML geschriebene Schemata dienen als GerĂĽst und Definitionsbasis fĂĽr die Beschreibung der Systemkonfiguration, der Analyse des Systems und dem abschlieĂźenden Erstellen eines Berichtes. In OVAL geschriebene Inhalte findet man beispielsweise in dem von der MITRE Corporation betreuten OVAL-Repository.
Red Hat möchte mit der OVAL-Zertifizierung seine Sicherheitswarnmeldungen strukturieren und die automatische Auswertung erleichtern. Der Linux-Distributor ist selbst Mitentwickler und -Initiator der OVAL, an der auch Unternehmen wie Cisco, IBM oder Microsoft beteiligt sind. Red Hat hofft, dass OVAL die gleiche Akzeptanz wie das MITRE-CVE-Projekt findet, dessen Schwachstellennummerierung so gut wie alle großen Software-Hersteller übernommen haben. Mitre hostet auch die Common-Malware-Enumeration-Website (CME) zur Vereinheitlichung der Bezeichnung von Computer-Schädlingen durch die US-CERT. (bbu)
