Normierte Sicherheitslösungen von Red Hat

Red Hats Sicherheitswarnmeldungen für seine Enterprise-Linux-Versionen 3 und 4 halten sich künftig an die OVAL (Open Vulnerability and Assessment Language). Die OVAL ist ein Standard für den Austausch von sicherheitsrelevanten Informationen. Drei in XML geschriebene Schemata dienen als Gerüst und Definitionsbasis für die Beschreibung der Systemkonfiguration, der Analyse des Systems und dem abschließenden Erstellen eines Berichtes. In OVAL geschriebene Inhalte findet man beispielsweise in dem von der MITRE Corporation betreuten OVAL-Repository.

Red Hat möchte mit der OVAL-Zertifizierung seine Sicherheitswarnmeldungen strukturieren und die automatische Auswertung erleichtern. Der Linux-Distributor ist selbst Mitentwickler und -Initiator der OVAL, an der auch Unternehmen wie Cisco, IBM oder Microsoft beteiligt sind. Red Hat hofft, dass OVAL die gleiche Akzeptanz wie das MITRE-CVE-Projekt findet, dessen Schwachstellennummerierung so gut wie alle großen Software-Hersteller übernommen haben. Mitre hostet auch die Common-Malware-Enumeration-Website (CME) zur Vereinheitlichung der Bezeichnung von Computer-Schädlingen durch die US-CERT. (bbu)