Язык OVAL появился 10 лет назад в качестве нового общественного стандарта для определения уязвимостей на локальных компьютерах. С того времени OVAL вырос до уровня международного протокола, признанного сообществом в сфере информационной безопасности, для стандартизации процессов оценки соответствия и получения сведений о состоянии вычислительных систем с использованием языка высокого уровня, позволяющего получать детализированную информацию о параметрах систем, а также многочисленных репозиториев контента безопасности, поддерживаемых сообществом OVAL.
Данный язык стандартизирует способы подачи информации, процесс анализа системы и формат выдаваемого результата. Таким образом, мы получаете один XML файл, в котором уже описана уязвимость, метод определения, ссылка на патч, ссылка на CVE и многое другое. Так же, данный формат является стандартом для принятия информации для сканеров безопасности.
Компания АЛТЭКС-СОФТ также присоединилась к сообществу и получила официальный статус OVAL Adopter. Мы первыми в России создали и поддерживаем Репозиторий определений на языке OVAL , в котором систематизирован информационный контент безопасности (SCAP-контент) для наиболее распространенных в России программных и аппаратно-программных средств. Мы уже сейчас активно работаем над созданием и публикацией информационного SCAP-контента не только для известных продуктов иностранного производства, но и для отечественных средств защиты. Ресурс имеет статус Definition Repository в программе OVAL Adoption.
Нами разработан собственный Интерпретатор языка OVAL, поддерживающий последнюю на данный момент версию языка 5.10.1. Уже сегодня наш Центр сертифицированных обновлений и механизмы контроля программ семейства Check адаптированы на применение SCAP-контента. Программы Check четвертого поколения со встроенными OVAL и XCCDF интерпретаторами дают возможность работы с произвольным SCAP-контентом для оценки состояния защищенности потенциально любых программных и аппаратно-программных продуктов. Это позволяет значительно расширить область применения программ Check и повысить эффективность механизмов настройки и контроля параметров безопасности сертифицированных продуктов Microsoft, так и другого программного обеспечения, включая наложенные СЗИ.
Мы благодарим всех, кто участвует в продвижении OVAL в России и использует безопасные решения на его основе. Мы благодарны за любые комментарии или обратную связь.
С полным описанием языка можно ознакомиться в этом документе.