Open Vulnerability and Assessment Language ( OVAL ) es un estándar comunitario internacional de seguridad de la información para promover contenido de seguridad abierto y disponible públicamente, y para estandarizar la transferencia de esta información en todo el espectro de herramientas y servicios de seguridad. OVAL incluye un lenguaje utilizado para codificar los detalles del sistema y una variedad de repositorios de contenido que se encuentran en toda la comunidad. El lenguaje estandariza los tres pasos principales del proceso de evaluación:
- representar información de configuración de sistemas para pruebas;
- analizar el sistema para detectar la presencia del estado de la máquina especificado (vulnerabilidad, configuración, estado del parche, etc.); y
- informar los resultados de esta evaluación.
Los repositorios son colecciones de contenido abierto y disponible públicamente que utilizan el lenguaje.
La comunidad OVAL ha desarrollado tres esquemas escritos en Extensible Markup Language ( XML ) para que sirvan como marco y vocabulario del lenguaje OVAL. Estos esquemas corresponden a los tres pasos del proceso de evaluación: un esquema de características del sistema OVAL para representar la información del sistema, un esquema de definición de OVAL para expresar un estado específico de la máquina y un esquema de resultados de OVAL para informar los resultados de una evaluación.
El contenido escrito en el idioma OVAL se encuentra en uno de los muchos repositorios que se encuentran dentro de la comunidad. Uno de esos repositorios, conocido como Repositorio OVAL, está alojado en The MITRE Corporation. Es el lugar de encuentro central de la Comunidad OVAL para discutir, analizar, almacenar y difundir las Definiciones OVAL. Cada definición en el repositorio OVAL determina si una vulnerabilidad de software, un problema de configuración, un programa o un parche específicos están presentes en un sistema.
La comunidad de seguridad de la información contribuye al desarrollo de OVAL participando en la creación del Lenguaje OVAL en el Foro de Desarrolladores OVAL y escribiendo definiciones para el Repositorio OVAL a través del Foro Comunitario OVAL. Una Junta de OVAL compuesta por representantes de un amplio espectro de organizaciones industriales, académicas y gubernamentales de todo el mundo supervisa y aprueba el lenguaje OVAL y supervisa la publicación de las definiciones alojadas en el sitio web de OVAL. Esto significa que el OVAL, que está financiado por US-CERT en el Departamento de Seguridad Nacional de EE. UU. Para el beneficio de la comunidad, refleja los conocimientos y la experiencia combinada de la colección más amplia posible de profesionales de seguridad y administración de sistemas en todo el mundo.
OVAL es utilizado por el Protocolo de automatización de contenido de seguridad (SCAP).
Lenguaje OVAL
El lenguaje OVAL estandariza los tres pasos principales del proceso de evaluación: representar la información de configuración de los sistemas para la prueba; analizar el sistema para detectar la presencia del estado de la máquina especificado (vulnerabilidad, configuración, estado del parche, etc.); e informar los resultados de esta evaluación.
Intérprete OVAL
El intérprete de OVAL es una implementación de referencia de libre acceso creada para mostrar cómo se pueden recopilar datos de una computadora para realizar pruebas en base a un conjunto de definiciones de OVAL y luego evaluar para determinar los resultados de cada definición.
El intérprete de OVAL demuestra la facilidad de uso de las definiciones de OVAL y los redactores de definiciones pueden utilizarlo para garantizar la sintaxis correcta y la adherencia al lenguaje OVAL durante el desarrollo de los borradores de definiciones. No es una herramienta de escaneo completamente funcional y tiene una interfaz de usuario simplista, pero ejecutar el Intérprete de OVAL le proporcionará una lista de valores de resultado para cada definición evaluada.
Repositorio OVAL
El Repositorio OVAL es el lugar de encuentro central de la Comunidad OVAL para discutir, analizar, almacenar y difundir las Definiciones OVAL. Otros repositorios de la comunidad también albergan contenido de OVAL, que puede incluir archivos de características del sistema de OVAL y archivos de resultados de OVAL, así como definiciones. El Repositorio OVAL contiene todas las Definiciones de Vulnerabilidad, Cumplimiento, Inventario y Parches de OVAL desarrolladas por la comunidad para los sistemas operativos compatibles. Las definiciones son de uso e implementación gratuitos en productos y servicios de seguridad de la información. El Programa de premios para colaboradores principales del repositorio OVAL otorga premios trimestralmente a los contribuyentes principales del repositorio OVAL. El repositorio es un esfuerzo de la comunidad, y las contribuciones de contenido nuevo y modificaciones son fundamentales para su éxito. Los premios sirven como reconocimiento público del apoyo de una organización al Repositorio OVAL y como un incentivo para que otros contribuyan.
Las organizaciones que reciban el premio también recibirán un logotipo de Colaborador principal del repositorio de OVAL que indica el trimestre del premio (p. Ej., Primer trimestre de 2007) que se puede utilizar como mejor les parezca. Los premios se otorgan a las organizaciones que han realizado una contribución significativa de contenido nuevo o modificado cada trimestre.
Tablero OVAL
La Junta de OVAL es un órgano asesor, que proporciona información valiosa sobre OVAL al Moderador (actualmente MITRE). Si bien es importante contar con apoyo organizativo para OVAL, son las personas que forman parte de la Junta de OVAL y sus aportes y actividades las que realmente marcan la diferencia. Las principales responsabilidades de la Junta son trabajar con el Moderador y la Comunidad para definir OVAL, proporcionar información sobre la dirección estratégica de OVAL y defender OVAL en la Comunidad.
Ver también
- MITRE The MITRE Corporation
- Vulnerabilidades y exposiciones comunes (índice de nombres estandarizados para vulnerabilidades y otros problemas de seguridad)
- XCCDF - Formato de descripción de lista de verificación de configuración extensible
- El protocolo de automatización de contenido de seguridad utiliza OVAL
enlaces externos
- Sitio web de OVAL
- Sitio web corporativo de Gideon Technologies (miembro de la junta de OVAL)
- www.itsecdb.com Portal para definiciones de OVAL de varias fuentes
- oval.secpod.com SecPod OVAL Definiciones Fuente profesional