The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.10.2010 16:58  В Fedora 14 появится поддержка OpenSCAP

Разработчики дистрибутива Fedora рассказали об одном из интересных новшеств грядущего релиза Fedora 14 — интегрированной поддержке Security Content Automation Protocol (SCAP).

SCAP представляет собой набор стандартов по организации информации, относящейся к безопасности вычислительных систем. Сюда относятся прежде всего данные об уязвимостях в программном обеспечении и потенциально опасных ошибках в конфигурации. Используя возможности SCAP, разработчики могут создавать инструменты для контроля обновлений безопасности, проверки наличия необходимых патчей, сканирования ПО системы на предмет известных уязвимостей, автоматического обнаружения следов взлома и т.п. Стандарты SCAP предоставляют общий язык, на котором осуществляется взаимодействие специалистов по безопасности, обнаруживающих уязвимости, вендоров, эти уязвимости закрывающих, и автоматизированных средств аудита безопасности конечных систем, упрощающих работу системных администраторов.

Группа стандартов SCAP была разработана Национальным Институтом Стандартов и Технологий США (NIST) как единая открытая альтернатива множеству закрытых форматов, используемых в различных проприетарных системах обеспечения безопасности. Ключевыми компонентами SCAP являются:

  • Common Vulnerabilities and Exposures (CVE) — единый каталог уязвимостей, позволяющий однозначно идентифицировать их и впоследствии ссылаться на конкретный CVE ID.
  • Common Configuration Enumeration (CCE) — единый каталог рекомендаций по настройке ПО.
  • Common Platform Enumeration (CPE) — схема идентификации программных продуктов, позволяющая, в частности, точно указать подмножество программ, подверженных воздействию конкретной уязвимости.
  • Common Vulnerability Scoring System (CVSS) — система оценки степени опасности различных уязвимостей.
  • Extensible Configuration Checklist Description Format (XCCDF) — основанный на XML формат описания алгоритмов автоматизированных проверок безопасности.
  • Open Vulnerability and Assessment Language (OVAL) — также основанный на XML язык, предназначенный для автоматизированной оценки безопасности систем, предоставляющий средства для описания исследуемой системы, анализа ее состояния (наличие уязвимостей, состояние конфигурации, присутствие патчей) и формирования отчетов о результатах проверки.

В состав Fedora 14 будет включен открытый фреймворк OpenSCAP, упрощающий разработку инструментов, работающих со стандартами SCAP, а также ряд готовых утилит, основанных на этом фреймворке:

  • oscap-scan — консольный сканер безопасности системы, работающий с форматами OVAL и XCCDF.
  • secstate — инструмент для упрощения процесса сертификации и аккредитации Linux-систем, предоставляющий механизмы проверки и восстановления настроек системы.
  • firstaidkit-plugin-openscap — плагин для утилиты автоматического восстановления системы FirstAidKit, предоставляющий возможности автоматизированного аудита системы.
  • scap-workbench — графический инструмент, позволяющий редактировать информацию в форматах SCAP, выполнять сканирование системы и формировать отчеты.

Компания Red Hat уже давно использует CVE для идентификации уязвимостей, а каждое обновление безопасности сопровождается соответствующим OVAL-описанием, что значительно упрощает процесс обеспечения безопасности основанных на Fedora систем средствами нового инструментария.

  1. Главная ссылка к новости (http://press.redhat.com/2010/1...)
  2. Официальный сайт SCAP
  3. Сайт проекта OpenSCAP
Автор новости: Sergey Ptashnick
Тип: Обобщение
Ключевые слова: fedora, redhat, openscap, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, chemtech, 19:05, 24/10/2010 [ответить] [смотреть все]
  • +/
    Очень позитивно!
     
  • 1.2, anonymous, 19:19, 24/10/2010 [ответить] [смотреть все]
  • +1 +/
    Забавно, но при заявляемой "непробиваемостью" Linux Fedora (по сабжу читай RedHat) все больше акцентирует внимание на безопасности.
    Что это - попытка избавиться от glibs-подобных недоработок или все же признание невозможности контролировать весь тот код, что делают множество неконтролируемых программистов?
     
     
  • 2.3, Аноним123321, 19:35, 24/10/2010 [^] [ответить] [смотреть все]
  • +1 +/
    помоему это вообще просто какаято политическая фигня (которая нужна только для сугобо политических манипуляций)

    ..на обычных (а не сферических-в-вакууме) компьютерах -- кому оно понадобиться? %)

    ...какие разработчики будут встраивать этот каркас в свои программы? только лишь те разработчики кто опять завязан на политику? (ну тоесть нужно получить какуюнить проходную бумашку для своей программы и поэтому надо добавить побольше пафосных функций-безопасности для галочки :) :))

     
     
  • 3.6, ананим, 20:23, 24/10/2010 [^] [ответить] [смотреть все]
  • +/
    а зачем ее встраивать, если она и так дает?
     
     
  • 4.12, PereresusNeVlezaetBuggy, 23:15, 24/10/2010 [^] [ответить] [смотреть все]
  • –2 +/
    > а зачем ее встраивать, если она и так дает?

    — Слы, чувак, хи-хи, нам дадут!
    — Э-э, круто! А кто?
    — Эта... Рэдхат.
    — Ты чё, даун? Это ж «Красная шапочка» значит. Помнишь, в детстве читал? Представляешь, сколько ей теперь лет? Чувак, текаем отседова, пока по шапке не получили!..

     
  • 3.17, non anon, 15:52, 25/10/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    >..на обычных (а не сферических-в-вакууме) компьютерах -- кому оно понадобиться? %)

    Если вы никогда не работали на предприятиях, в которых серьезно подходят к безопасности, это не значит, что таких предприятий не существует.

    Автоматизированный аудит - это офигенно полезная фича для предприятий, начиная с малых офисов. Но домашне-десктопным юзерам этого не понять, да.

     
  • 2.19, ххх, 17:32, 25/10/2010 [^] [ответить] [смотреть все]  
  • +/
    > Забавно, но при заявляемой "непробиваемостью" Linux Fedora (по сабжу читай RedHat) все
    > больше акцентирует внимание на безопасности.
    > Что это - попытка избавиться от glibs-подобных недоработок или все же признание
    > невозможности контролировать весь тот код, что делают множество неконтролируемых программистов?

    как вы думаете, код, к-ый прислал человек с улицы так просто попадёт в ядро?
    как минимум его просмотрит пара десятков экспертов.
    да и вообще над ядром линукса работают корпорации по большей части(http://opennet.ru/opennews/art.shtml?num=23083), так что можно не разводить столь недалекий троллинг, тем более если вы не разбираетесь в вопросе.

     
  • 1.7, KERNEL_PANIC, 21:16, 24/10/2010 [ответить] [смотреть все]  
  • +/
    Fеdora, как всегда, впереди планеты всей. И это хорошо.
     
  • 1.8, Tav, 22:01, 24/10/2010 [ответить] [смотреть все]  
  • +1 +/
    А в самой реализации SCAP уязвимости будут?
     
     
  • 2.9, Tav, 22:02, 24/10/2010 [^] [ответить] [смотреть все]  
  • +/
    ...или это должно будет называться метауязвимостями.
     
  • 1.13, nikl, 09:14, 25/10/2010 [ответить] [смотреть все]  
  • +/
    В ссылке на CCE очень хорошие рекомендации по безопасности, стоит хотя бы почитать. http://cce.mitre.org/lists/cce_list.html
     
  • 1.14, sluge, 10:02, 25/10/2010 [ответить] [смотреть все]  
  • +/
    тока зачем они это сделали?
     
  • 1.16, SirYorik, 11:45, 25/10/2010 [ответить] [смотреть все]  
  • +/
    Затем, что будущий RHEL хорошо интегрированный со SCAP будет ловчее продаваться в определённых кругах кустомеров... как минимум, наблюдать свежий rhel-сервер имеющимся scap-аудитором, в который уже вложены бабки (http://nvd.nist.gov/scapproducts.cfm) кому-то может понравиться.


     
  • 1.20, mirr0r, 17:45, 25/10/2010 [ответить] [смотреть все]  
  • +/
    1. >Забавно, но при заявляемой "непробиваемостью" Linux Fedora (по сабжу читай
       > RedHat) все больше акцентирует внимание на безопасности.

         Linux Fedora это платформа для обкатки новшеств RHEL. Не понимать этого
         может только человек, увидевший слово Linux сегодня на этом форуме.
    2. > А в самой реализации SCAP уязвимости будут?
         Конечно. Неуязвимых (абсолютно защищенных, идеальных) систем нет в природе.
    3. Ну а Ubunt'о - оно конечно исключение, особенно в плане секурности.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList