Разработчики дистрибутива Fedora об одном из интересных новшеств грядущего релиза Fedora 14 — интегрированной поддержке .
SCAP представляет собой набор стандартов по организации информации, относящейся к безопасности вычислительных систем. Сюда относятся прежде всего данные об уязвимостях в программном обеспечении и потенциально опасных ошибках в конфигурации. Используя возможности SCAP, разработчики могут создавать инструменты для контроля обновлений безопасности, проверки наличия необходимых патчей, сканирования ПО системы на предмет известных уязвимостей, автоматического обнаружения следов взлома и т.п. Стандарты SCAP предоставляют общий язык, на котором осуществляется взаимодействие специалистов по безопасности, обнаруживающих уязвимости, вендоров, эти уязвимости закрывающих, и автоматизированных средств аудита безопасности конечных систем, упрощающих работу системных администраторов.
Группа стандартов SCAP была разработана как единая открытая альтернатива множеству закрытых форматов, используемых в различных проприетарных системах обеспечения безопасности. Ключевыми компонентами SCAP являются:
— единый каталог уязвимостей, позволяющий однозначно идентифицировать их и впоследствии ссылаться на конкретный CVE ID.
— единый каталог рекомендаций по настройке ПО.
— схема идентификации программных продуктов, позволяющая, в частности, точно указать подмножество программ, подверженных воздействию конкретной уязвимости.
— система оценки степени опасности различных уязвимостей.
— основанный на XML формат описания алгоритмов автоматизированных проверок безопасности.
— также основанный на XML язык, предназначенный для автоматизированной оценки безопасности систем, предоставляющий средства для описания исследуемой системы, анализа ее состояния (наличие уязвимостей, состояние конфигурации, присутствие патчей) и формирования отчетов о результатах проверки.
В состав Fedora 14 будет включен открытый фреймворк , упрощающий разработку инструментов, работающих со стандартами SCAP, а также ряд готовых утилит, основанных на этом фреймворке:
oscap-scan — консольный сканер безопасности системы, работающий с форматами OVAL и XCCDF.
— инструмент для упрощения процесса сертификации и аккредитации Linux-систем, предоставляющий механизмы проверки и восстановления настроек системы.
firstaidkit-plugin-openscap — плагин для утилиты автоматического восстановления системы , предоставляющий возможности автоматизированного аудита системы.
— графический инструмент, позволяющий редактировать информацию в форматах SCAP, выполнять сканирование системы и формировать отчеты.
Компания Red Hat уже давно использует CVE для идентификации уязвимостей, а каждое обновление безопасности сопровождается соответствующим OVAL-описанием, что значительно упрощает процесс обеспечения безопасности основанных на Fedora систем средствами нового инструментария.
