В Fedora 14 появится поддержка OpenSCAP

24.10.2010 16:58

Разработчики дистрибутива Fedora рассказали об одном из интересных новшеств грядущего релиза Fedora 14 — интегрированной поддержке Security Content Automation Protocol (SCAP).

SCAP представляет собой набор стандартов по организации информации, относящейся к безопасности вычислительных систем. Сюда относятся прежде всего данные об уязвимостях в программном обеспечении и потенциально опасных ошибках в конфигурации. Используя возможности SCAP, разработчики могут создавать инструменты для контроля обновлений безопасности, проверки наличия необходимых патчей, сканирования ПО системы на предмет известных уязвимостей, автоматического обнаружения следов взлома и т.п. Стандарты SCAP предоставляют общий язык, на котором осуществляется взаимодействие специалистов по безопасности, обнаруживающих уязвимости, вендоров, эти уязвимости закрывающих, и автоматизированных средств аудита безопасности конечных систем, упрощающих работу системных администраторов.

Группа стандартов SCAP была разработана Национальным Институтом Стандартов и Технологий США (NIST) как единая открытая альтернатива множеству закрытых форматов, используемых в различных проприетарных системах обеспечения безопасности. Ключевыми компонентами SCAP являются:

Common Vulnerabilities and Exposures (CVE) — единый каталог уязвимостей, позволяющий однозначно идентифицировать их и впоследствии ссылаться на конкретный CVE ID.
Common Configuration Enumeration (CCE) — единый каталог рекомендаций по настройке ПО.
Common Platform Enumeration (CPE) — схема идентификации программных продуктов, позволяющая, в частности, точно указать подмножество программ, подверженных воздействию конкретной уязвимости.
Common Vulnerability Scoring System (CVSS) — система оценки степени опасности различных уязвимостей.
Extensible Configuration Checklist Description Format (XCCDF) — основанный на XML формат описания алгоритмов автоматизированных проверок безопасности.
Open Vulnerability and Assessment Language (OVAL) — также основанный на XML язык, предназначенный для автоматизированной оценки безопасности систем, предоставляющий средства для описания исследуемой системы, анализа ее состояния (наличие уязвимостей, состояние конфигурации, присутствие патчей) и формирования отчетов о результатах проверки.

В состав Fedora 14 будет включен открытый фреймворк OpenSCAP, упрощающий разработку инструментов, работающих со стандартами SCAP, а также ряд готовых утилит, основанных на этом фреймворке:

oscap-scan — консольный сканер безопасности системы, работающий с форматами OVAL и XCCDF.
secstate — инструмент для упрощения процесса сертификации и аккредитации Linux-систем, предоставляющий механизмы проверки и восстановления настроек системы.
firstaidkit-plugin-openscap — плагин для утилиты автоматического восстановления системы FirstAidKit, предоставляющий возможности автоматизированного аудита системы.
scap-workbench — графический инструмент, позволяющий редактировать информацию в форматах SCAP, выполнять сканирование системы и формировать отчеты.

Компания Red Hat уже давно использует CVE для идентификации уязвимостей, а каждое обновление безопасности сопровождается соответствующим OVAL-описанием, что значительно упрощает процесс обеспечения безопасности основанных на Fedora систем средствами нового инструментария.

исправить +2 +/–

Автор новости: Sergey Ptashnick

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/28396-fedora

Ключевые слова: fedora, redhat, openscap, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (14)

1.1, chemtech (ok), 19:05, 24/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Очень позитивно!

1.2, anonymous (??), 19:19, 24/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Забавно, но при заявляемой "непробиваемостью" Linux Fedora (по сабжу читай RedHat) все больше акцентирует внимание на безопасности. Что это - попытка избавиться от glibs-подобных недоработок или все же признание невозможности контролировать весь тот код, что делают множество неконтролируемых программистов?

2.3, Аноним123321 (ok), 19:35, 24/10/2010 [^] [^^] [^^^] [ответить]

+1 +/–

помоему это вообще просто какаято политическая фигня (которая нужна только для сугобо политических манипуляций)

..на обычных (а не сферических-в-вакууме) компьютерах -- кому оно понадобиться? %)

...какие разработчики будут встраивать этот каркас в свои программы? только лишь те разработчики кто опять завязан на политику? (ну тоесть нужно получить какуюнить проходную бумашку для своей программы и поэтому надо добавить побольше пафосных функций-безопасности для галочки :) :))

3.6, ананим (?), 20:23, 24/10/2010 [^] [^^] [^^^] [ответить]	+/–
а зачем ее встраивать, если она и так дает?

4.12, PereresusNeVlezaetBuggy (ok), 23:15, 24/10/2010 [^] [^^] [^^^] [ответить]	–2 +/–
> а зачем ее встраивать, если она и так дает? — Слы, чувак, хи-хи, нам дадут! — Э-э, круто! А кто? — Эта... Рэдхат. — Ты чё, даун? Это ж «Красная шапочка» значит. Помнишь, в детстве читал? Представляешь, сколько ей теперь лет? Чувак, текаем отседова, пока по шапке не получили!..

3.17, non anon (?), 15:52, 25/10/2010 [^] [^^] [^^^] [ответить]

+1 +/–

>..на обычных (а не сферических-в-вакууме) компьютерах -- кому оно понадобиться? %)

Если вы никогда не работали на предприятиях, в которых серьезно подходят к безопасности, это не значит, что таких предприятий не существует.

Автоматизированный аудит - это офигенно полезная фича для предприятий, начиная с малых офисов. Но домашне-десктопным юзерам этого не понять, да.

2.19, ххх (?), 17:32, 25/10/2010 [^] [^^] [^^^] [ответить]	+/–
> Забавно, но при заявляемой "непробиваемостью" Linux Fedora (по сабжу читай RedHat) все > больше акцентирует внимание на безопасности. > Что это - попытка избавиться от glibs-подобных недоработок или все же признание > невозможности контролировать весь тот код, что делают множество неконтролируемых программистов? как вы думаете, код, к-ый прислал человек с улицы так просто попадёт в ядро? как минимум его просмотрит пара десятков экспертов. да и вообще над ядром линукса работают корпорации по большей части(http://opennet.ru/opennews/art.shtml?num=23083), так что можно не разводить столь недалекий троллинг, тем более если вы не разбираетесь в вопросе.

1.7, KERNEL_PANIC (ok), 21:16, 24/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Fеdora, как всегда, впереди планеты всей. И это хорошо.

1.8, Tav (ok), 22:01, 24/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
А в самой реализации SCAP уязвимости будут?

2.9, Tav (ok), 22:02, 24/10/2010 [^] [^^] [^^^] [ответить]	+/–
...или это должно будет называться метауязвимостями.

1.13, nikl (ok), 09:14, 25/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В ссылке на CCE очень хорошие рекомендации по безопасности, стоит хотя бы почитать. http://cce.mitre.org/lists/cce_list.html

1.14, sluge (ok), 10:02, 25/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
тока зачем они это сделали?

1.16, SirYorik (?), 11:45, 25/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Затем, что будущий RHEL хорошо интегрированный со SCAP будет ловчее продаваться в определённых кругах кустомеров... как минимум, наблюдать свежий rhel-сервер имеющимся scap-аудитором, в который уже вложены бабки (http://nvd.nist.gov/scapproducts.cfm) кому-то может понравиться.

1.20, mirr0r (ok), 17:45, 25/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
1. >Забавно, но при заявляемой "непробиваемостью" Linux Fedora (по сабжу читай > RedHat) все больше акцентирует внимание на безопасности. Linux Fedora это платформа для обкатки новшеств RHEL. Не понимать этого может только человек, увидевший слово Linux сегодня на этом форуме. 2. > А в самой реализации SCAP уязвимости будут? Конечно. Неуязвимых (абсолютно защищенных, идеальных) систем нет в природе. 3. Ну а Ubunt'о - оно конечно исключение, особенно в плане секурности.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: