Artikel top billede

Sådan rapporterer du sårbarheder fremover

Brancheforeningen ICASI er nu klar med en standard til rapportering af sårbarheder og har således lagt sidste hånd på et større standardiseringstiltag på området.

Computerworld News Service: Tre år efter oprettelsen af Industry Consortium for Advancement of Security on the Internet begynder brancheforeningen at bære frugt med lanceringen af første version af et rammeværktøj, der gør det lettere for it-leverandører at dele oplysninger om sårbarheder i software.

Rapporterings-standarden Common Vulnerability Reporting Framework er gratis at anvende og er baseret på XML. Håbet er, at der hermed vil blive ryddet op i de mange forskellige måder, virksomheder dokumenterer, refererer til og rapporterer om opdagede software-sårbarheder i mængden af produkttyper.

It-sikkerhedsbranchen havde i forvejen udviklet systemet Common Vulnerabilities and Exposures til identificering af sikkerhedsfejl uafhængigt af hver leverandørs særlige terminologi samt Common Vulnerability Scoring System til kategorisering af sårbarheders alvorsgrad. CVRF udgør det sidste større standardiserende skridt i denne overhaling.

Ideen er, at leverandørerne i steder for at bruge deres egne rapporteringsdesign i fremtiden vil anvende CVRF, hvilket fjerner behovet for det tidskrævende og potentielt usikre arbejdet med at oversætte begreberne mellem inkompatible rapporter igen og igen.

Den nye standard er ikke kun til it-virksomheder og software-leverandører men også til enhver med interesser i sikkerhedsbranchen heriblandt analytikere, computer emergency response teams, store virksomheder og regeringer. Også forbrugerne vil indirekte høste fordele af standarden.

Bedre overblik - større tillid

"Med brugen af CVRF vil producenterne af sårbarhedsrapporter drage nytte af hurtigere og mere standardiseret rapportering," siger Linda Betz, der er formand for ICASI og chef for it-politik og informations-sikkerhed hos IBM.

"Slutbrugerne vil være i stand til at finde, håndtere og handle på relevante informationer hurtigere og lettere og med en højere grad af tillid til, at informationerne er nøjagtige og fyldestgørende. Forbrugerne vil i sidste ende drage fordel af mere sikre systemer og applikationer," forklarer hun.

ICASI's medlemmer inkluderer virksomheder såsom Microsoft, Cisco, Juniper Networks, Nokia, Amazon, IBM og Intel, men det ville være en fejl at tro, at dette blot er endnu en højt ragende standard, der er designet til at gøre livet lettere for de store leverandører.

Et uudtalt håb er, at CVRF på længere sigt vil gøre det lettere for uafhængige analytikere at indsende sårbarhedsdata til virksomheder højere oppe i fødekæden, hvilket hidtil har været en kompliceret proces.

Muligheden for at indsende data via et systemet baseret på XML, der kan behandles maskinelt, bør betyde, at sikkerhedsinformationerne vil cirkulere hurtigere og mindre ekskluderende, end det før har været tilfældet.

ICASI har offentliggjort et forklarende white paper (pdf) på sit website, der beskriver rammeværktøjet i detaljer.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
BI Excellence Day 2025

Kom og få indsigt i, hvordan du kan arbejde målrettet og struktureret med BI, så din virksomhed bliver i stand til at tage hurtige og datadrevne beslutninger, der understøtter din virksomheds strategi. Netværk og del erfaringer med ligesindede og mød eksperter, der kan give viden om de nyeste tendenser, og hvordan du gør brug af disse uden at gå på kompromis med compliance.

30. april 2025 | Læs mere


Cyber Briefing: Geopolitik og cloud

Private vs. public cloud - hybride løsninger der sikrer kritiske data. Overvejer din organisation at vende de amerikanske cloud-giganter i ryggen set i lyset af den geopolitiske situation? Vi dykker ned i en dugfrisk rapport og diskuterer mulighederne for en "Plan B".

05. maj 2025 | Læs mere


Virksomhedsplatforme i forandring: Hvordan navigerer du i den teknologiske udvikling?

Hvordan finder du balancen mellem cloud- og hybride løsninger? Hvordan integrerer du legacy-applikationer ind i dit nye ERP-setup? Hvordan undgår du at havne i statistikken over store ERP-projekter, der fejler eller overskrider budgetterne?

06. maj 2025 | Læs mere