Das Standardisierungsgremium OASIS Open hat das sogenannte Common Security Advisory Framework (CSAF) zum Standard erhoben. Ziel sei es, die Arbeit mit den von Herstellern derzeit in verschiedenen Formaten und Quellen bereitgestellten Informationen zu Sicherheitspatches zu vereinfachen.

Administratoren müssen verschiedene Quellen erfassen, um die Risiken und Verfügbarkeit von Sicherheitsupdates beurteilen zu können. Automatisierte Updates stellen hier oft keine Lösung dar, da sie auch zu unerwünschten Nebenwirkungen, bis hin zum Ausfall produktiver Systeme, führen können.

Der systematische Umgang mit Security-Updates soll mit dem Common Security Advisory Framework (CSAF) vereinfacht werden. In der aktuellen Version 2.0 umfasse das CSAF dazu die Spezifikation maschinenlesbarer Sicherheitsmeldungen im JSON-Format. Darüber hinaus soll der sogenannte "Vulnerability-Exploitability eXchange" (VEX) Herstellern helfen, Aussagen über die Verfügbarkeit und Anwendbarkeit von Exploits für ihre Produkte zu treffen.

Mit der Standardisierung von CSAF 2.0 sei der XML-basierte Standard CVRF abgelöst worden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die CISA sollen die Unterstützung von CSAF bereits angekündigt haben.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE