Standard für maschinenlesbare Sicherheitshinweise verabschiedet
Das Common Security Advisory Framework soll Administratoren die Arbeit erleichtern und aktuelle Sicherheitsinformationen leichter auffindbar machen.
Informationen über Sicherheitspatches stehen derzeit in verschiedenen, oft herstellerspezifischen Formaten und Quellen zur Verfügung. Das jetzt von OASIS Open zum Standard erhobene Common Security Advisory Framework (CSAF) soll mit dem Wildwuchs aufräumen und einen automatischen Abgleich ermöglichen.
Gegen das Update-Chaos
Software-Updates sind eine Pflichtaufgabe für jeden Admin, müssen bei Sicherheitslücken zeitnah eingespielt werden und können Auswirkungen auf die Stabilität der betroffenen Systeme haben. Ein Minenfeld für Systemverwalter, die oft in kürzester Zeit große Mengen von Systemen mit Patches versorgen und gleichzeitig betriebsbereit halten müssen.
Um die Risiken und Verfügbarkeit von sicherheitsrelevanten Updates beurteilen zu können, müssen Administratoren viele verschiedene Quellen im Auge behalten: Hersteller- oder distributionseigene Sicherheitsmeldungen, unabhängige Listen und Foren, RSS-Feeds und Websites wie etwa heise Security. Diese mit der eigenen Systemlandschaft abzugleichen und dann die Auswirkungen auf die Dienstgüte zu ermitteln, ist oft händische Fleißarbeit. Auch automatisierte (Sicherheits-)Updates stellen keine vollständige Lösung dar, können sie doch unerwünschte Wechselwirkungen bis hin zum Systemausfall bewirken.
Schematisierte Advisories
Das Common Security Advisory Framework (CSAF) möchte den systematischen Umgang mit Security-Updates erleichtern. CSAF umfasst in seiner aktuellen Version 2.0 die Spezifikation maschinenlesbarer Sicherheitsmeldungen im JSON-Format. Neben dem Hauptdokument beinhaltet der CSAF-Standard noch den "Vulnerability-Exploitability eXchange" (VEX), mit dessen Hilfe ein Hersteller verlässliche Aussagen über die Verfügbarkeit und Anwendbarkeit von Exploits für seine Produkte treffen kann. Nutzt eine Organisation CSAF/VEX zusammen mit einer Software-Inventardatenbank (SBOM), so können Systemverantwortliche in Windeseile ermitteln, wo Schwachstellen lauern und wie dringend sie behoben werden müssen.
Das Standardisierungsgremium OASIS hat CSAF 2.0 nun zum Standard erhoben und den XML-basierten Standard CVRF somit abgelöst. Damit ebnet OASIS den Weg für eine weitere Verbreitung und Nutzung – so haben sowohl die US-amerikanische CISA als auch das BSI bereits Unterstützung von CSAF angekündigt. Um die Implementation eigener Lösungen zu erleichtern, stellt OASIS auf Github verschiedene Beispiel-Advisories sowie die JSON-Schemata bereit.
(ju)