Sztenderdizált jelentések a biztonsági résekről

Az ICASI (Industry Consortium for Advancement of Security on the Internet) konzorciumot 2008-ban hozta létre négy jelentős informatikai vállalat. A Microsoft, a Juniper Networks, a Cisco és az IBM által alapított szervezet azzal a céllal jött létre, hogy lehetővé tegye a tagjai számára a globális biztonsági kihívások közös elemzését és megoldását. 2008 óta az ICASI-hoz csatlakozott a Nokia valamint az Amazon.com is. E vállalatok az elmúlt években többek között azon dolgoztak, hogy egy olyan rendszer válhasson széles körben elfogadottá, amelynek segítségével a sérülékenységekkel kapcsolatos információk közzétételét egységesíteni lehet. E cél érdekében született meg a CVRF (Common Vulnerability Reporting Framework), amely tulajdonképpen egy szabadon használható, XML-alapú jelentéskészítési keretrendszer.

A sebezhetőségek kezelése kapcsán eddig is több előírás, ajánlás volt. Ezek közül az egyik legelterjedtebb a CVE (Common Vulnerabilities and Exposures), amely többek között a biztonsági hibák azonosítását szolgálja. Viszonylag gyakran lehet hallani a CVSS (Common Vulnerability Scoring System) rendszerről is, amely a sérülékenységek veszélyességének egységes értékelését, veszélyességi besorolását hivatott elősegíteni. Ezekhez a megoldásokhoz csatlakozott a CVRF.

A CVRF nemcsak a technológiai vállalatokat és szoftvergyártókat segíti, hanem a biztonsági kutatók, cégek, kormányzati szervek és a CERT-ek munkáját is megkönnyítheti azáltal, hogy egységesíti a biztonsági hibákkal kapcsolatos legfontosabb adatok közzétételét. „A CVRF használatával a sérülékenységi kimutatások gyorsabban és sokkal sztenderdizáltabb formában készülhetnek" - mondta Linda Betz, az ICASI elnöke. „A végfelhasználók pedig egyszerűbben találhatják meg, és dolgozhatják fel a releváns információkat, amelyek alapján védelmi intézkedéseket hozhatnak" - tette hozzá Betz.