О проекте SCAP

OVAL ADOPTER OVE COMPATIBLE
Протокол Автоматизации Контента Безопасности (SCAP, Security Content Automation Protocol) включает в себя ряд открытых стандартов, поддерживаемых международным сообществом профессионалов в области информационной безопасности. Последняя версия (версия 1.2) SCAP состоит из одиннадцати компонентов протокола в пяти категориях.
SCAP призван автоматизировать процесс управления конфигурациями безопасности, унифицировать форматы представления и спецификации уязвимостей, стандартизовать способы их выявления, а также обеспечить информационный обмен между производителями и пользователями средств защиты информации. Статус SCAP как международного проекта обеспечивает участие в нем широкого круга специалистов в области ИБ. Протокол поддерживается ведущими мировыми вендорами, такими как Microsoft, Cisco, Symantec, Red Hat и др.

Компания АЛТЭКС-СОФТ в 2012 году присоединилась к сообществу и получила официальный статус OVAL Adopter. Мы первыми в России создали и поддерживаем крупнейший в мире публичный Репозиторий определений на языке OVAL, в котором систематизирован информационный контент безопасности (SCAP-контент) для наиболее распространенных в России программных и аппаратно-программных средств. Важно отметить, что ведется активная работа над созданием и публикацией информационного SCAP-контента не только для известных продуктов иностранного производства, но и для отечественных средств защиты. Репозиторий OVALdb обладает статусами OVAL Adopter, CVE Compatible, а также Joval Compatible. За последние 8 лет компания АЛТЭКС-СОФТ ежеквартально признается лучшим экспертом OVAL-сообщества по версии CIS (ранее по версии MITRE) и получает почетный статус эксперта по составлению контента безопасности OVAL "OVAL Repository Top Contributor Award".

Нами разработан собственный Интерпретатор языка OVAL, поддерживающий последнюю на данный момент версию языка 5.11. Уже сегодня наш Центр сертифицированных обновлений и механизмы контроля программ семейства Check адаптированы на применение SCAP-контента. А средство анализа защищенности RedCheck со встроенными OVAL- и XCCDF- интерпретаторами даёт возможность работы с произвольным SCAP-контентом для оценки состояния защищенности любых программных и программно-аппаратных продуктов.

Тематический Web-ресурс АЛТЭКС-СОФТ, посвященный OVAL, и решения, построенные с использованием протокола SCAP, позволяют широкому кругу специалистов по информационной безопасности воспользоваться опытом и знаниями не только нашей компании, но и всего SCAP-сообщества.

Также мы являемся активнейшими участниками проекта по созданию и поддержке Банка данных угроз безопасности информации (БДУ БИ ФСТЭК России) и считаем своей миссией развитие данной инициативы.

Наши цели

  • Содействовать внедрению и популяризации идеи SCAP в России;
  • Формировать отечественную базу уязвимостей, в том числе для российских продуктов и СЗИ;
  • Разрабатывать простые и доступные унифицированные инструменты для работы с международными базами уязвимостей и конфигурациями безопасности;
  • Принимать участие в развитии отечественных и международных стандартов управления безопасностью.

Уверены, что наши инициативы найдут поддержку среди профессионалов отрасли и рядовых пользователей.

О проекте

Репозиторий OVALdb был создан компанией АЛТЭКС-СОФТ в 2013 году и на сегодняшний день является одним из крупнейших международных банков данных о проверках проблем безопасности, включающих сведения об уязвимостях, обновлениях, параметрах конфигураций, инвентаризационных проверках и другой смежной информации, позволяющей формировать оценку защищенности информационных систем.
Информация в репозитории представлена на основе языков и классификаторов, входящих в Протокол Автоматизации Контента Безопасности (SCAP, Security Content Automation Protocol). Описания уязвимостей выполнены на языке OVAL (Open Vulnerability and Assessment Language).
Кроме контента, разработанного компанией АЛТЭКС-СОФТ, его содержание синхронизировано с репозиториями известных экспертных ресурсов, таких как CIS, MITRE, National Vulnerability Database (NVD), БДУ БИ ФСТЭК России, репозиториями (информационными порталами) ведущих отечественных и зарубежных разработчиков программного обеспечения. Периодичность публикации новых описаний сопоставима с обновлением ведущих антивирусных баз.

На основе описаний, представленных в репозитории, формируются «ленты», являющиеся сигнатурами проверок для наших продуктов, таких как RedCheck, Net_Check, /Local/_Check и ряда отечественных и зарубежных решений контроля и анализа защищенности.

Репозиторий состоит из открытой части, содержащей информацию верхнего уровня описаний (без проверок на языке OVAL), и закрытой части с проверками на языке OVAL, включающими описания уязвимостей, обновления, инвентаризационную информацию, параметры конфигураций, которые можно экспортировать во внешние XML-файлы для проведения автоматических проверок. Доступ к закрытой части осуществляется на основании учетных данных, предоставляемых компанией АЛТЭКС-СОФТ.

Информация, представленная на открытой части портала, является общедоступной и может свободно использоваться любым заинтересованным частным или юридическим лицом в исследовательских или собственных целях. База данных описаний на языке OVAL, является объектом авторского права АЛТЭКС-СОФТ и может использоваться только в соответствии с лицензионными договорами компании АЛТЭКС-СОФТ. Наша команда экспертов постоянно работает над тем, чтобы Вы получали самые достоверные данные!