OVAL

В статье не хватает ссылок на источники (см. рекомендации по поиску).
Информация должна быть проверяема, иначе она может быть удалена. Вы можете отредактировать статью, добавив ссылки на авторитетные источники в виде сносок. (20 ноября 2025)

Open Vulnerability and Assessment Language (OVAL) (открытый язык описания и оценки уязвимостей) — международный стандарт по информационной безопасности. Он включает в себя как сам язык, так и репозитории контента. OVAL стандартизует три основных компонента процесса оценки: представление конфигурационной информации для системы, анализ системы на предмет наличия состояний (уязвимости, обновления, конфигурации и т. п.) и представление отчётов по оценке системы.

Сообщество OVAL разработало 3 схемы на расширяемом языке разметки (XML), которые служат фреймворком для языка. Данные схемы соответствуют трём компонентам оценки: OVAL System Characteristics (схема для представления системной информации), OVAL Definition (схема, отображающая текущее состояние системы) и OVAL Results (схема для отображения результатов оценки).

OVAL — часть стандарта SCAP (Security Content Automation Protocol).

Интерпретатор OVAL

Интерпретатор OVAL — это бесплатное ПО, выступающее в качестве примера реализации сбора данных с системы для последующего вычисления определений OVAL. Интерпретатор создан в академических целях и предназначен в том числе для тестирования контента OVAL.

Репозиторий OVAL

Репозиторий OVAL — это центральное место, в котором сообщество обсуждает, анализирует и распространяет определения OVAL. Члены сообщества вносят свой вклад в развитие, публикуя определения на форуме репозитория OVAL, где команда модераторов и других членов сообщества проверяют и обсуждают их.

Репозиторий содержит контент, разработанный сообществом, в том числе данные об уязвимостях, соответствиях, инвентарях и обновлениях в виде определений OVAL. Определения OVAL из репозитория свободны для использования в соответствующих продуктах и сервисах. Помимо официального репозитория MITRE, существуют репозитории и от других вендоров, в том числе Cisco, Debian, Red Hat, SecPod, Novell, АЛТЭКС-СОФТ.

Существует программа награждения лучших участников репозитория[1].

Совет OVAL

Совет OVAL — это консультативный орган, который проводит важную работу над OVAL, определяя его дальнейшее развитие.

К каждому члену Совета OVAL предъявляются следующие требования:

  • участие в ежеквартальных встречах совета;
  • определение стратегического направления развития;
  • участие в жизни сообщества (разработчиков и создателей контента);
  • обеспечение экспертных заключений в интересах сообщества;
  • продвижение OVAL в рамках сообщества.

Вдобавок к указанным выше требованиям предполагается, что член Совета будет искать возможность для внедрения OVAL в рамках своей организации и её продуктов. Каждая организация в рамках Совета может быть представлена максимум двумя представителями. Кандидаты в Совет должны быть активными участниками сообщества.

Программа адаптации OVAL

Программа адаптации OVAL учреждена с целью обучения вендоров лучшим практикам использования и внедрения OVAL, предоставления вендорам возможность самим принимать решение о том, каким образом их продукты будут использовать OVAL, а также для оказания помощи MITRE в более глубоком понимании того, как использовать OVAL с целью дальнейшей эволюции стандарта. Среди российских участников программы можно отметить компании АЛТЭКС-СОФТ и Positive Technologies.

Примечания

  1. OVAL Repository Top Contributor Awards Program

Ссылки

Content Disclaimer

Informasi ini disarikan dari Wikipedia dan disajikan kembali untuk tujuan edukasi. Konten tersedia di bawah lisensi CC BY-SA 3.0. Kami tidak bertanggung jawab atas ketidakakuratan data yang bersumber dari kontribusi publik tersebut.

  1. The information displayed on this website is sourced in part or in whole from Wikipedia and has been adapted for the purpose of restating it. We strive to provide accurate and relevant information, however:
  2. There is no guarantee of absolute accuracy. Wikipedia is an open, collaborative project that can be edited by anyone, so information is subject to change.
  3. It is not intended to constitute professional advice. The content displayed is for informational and educational purposes only. For important decisions (e.g., medical, legal, or financial), please consult a professional.
  4. Content copyright. Wikipedia is licensed under the Creative Commons Attribution-ShareAlike License (CC BY-SA). This means that content may be reused with appropriate attribution and shared under a similar license.
  5. Responsible use. Any risk arising from the use of information from this website is entirely the responsibility of the user.