Computerworld News Service: Tre år efter oprettelsen af Industry Consortium for Advancement of Security on the Internet begynder brancheforeningen at bære frugt med lanceringen af første version af et rammeværktøj, der gør det lettere for it-leverandører at dele oplysninger om sårbarheder i software.
Rapporterings-standarden Common Vulnerability Reporting Framework er gratis at anvende og er baseret på XML. Håbet er, at der hermed vil blive ryddet op i de mange forskellige måder, virksomheder dokumenterer, refererer til og rapporterer om opdagede software-sårbarheder i mængden af produkttyper.
It-sikkerhedsbranchen havde i forvejen udviklet systemet Common Vulnerabilities and Exposures til identificering af sikkerhedsfejl uafhængigt af hver leverandørs særlige terminologi samt Common Vulnerability Scoring System til kategorisering af sårbarheders alvorsgrad. CVRF udgør det sidste større standardiserende skridt i denne overhaling.
Ideen er, at leverandørerne i steder for at bruge deres egne rapporteringsdesign i fremtiden vil anvende CVRF, hvilket fjerner behovet for det tidskrævende og potentielt usikre arbejdet med at oversætte begreberne mellem inkompatible rapporter igen og igen.
Den nye standard er ikke kun til it-virksomheder og software-leverandører men også til enhver med interesser i sikkerhedsbranchen heriblandt analytikere, computer emergency response teams, store virksomheder og regeringer. Også forbrugerne vil indirekte høste fordele af standarden.
Bedre overblik - større tillid
"Med brugen af CVRF vil producenterne af sårbarhedsrapporter drage nytte af hurtigere og mere standardiseret rapportering," siger Linda Betz, der er formand for ICASI og chef for it-politik og informations-sikkerhed hos IBM.
"Slutbrugerne vil være i stand til at finde, håndtere og handle på relevante informationer hurtigere og lettere og med en højere grad af tillid til, at informationerne er nøjagtige og fyldestgørende. Forbrugerne vil i sidste ende drage fordel af mere sikre systemer og applikationer," forklarer hun.
ICASI's medlemmer inkluderer virksomheder såsom Microsoft, Cisco, Juniper Networks, Nokia, Amazon, IBM og Intel, men det ville være en fejl at tro, at dette blot er endnu en højt ragende standard, der er designet til at gøre livet lettere for de store leverandører.
Et uudtalt håb er, at CVRF på længere sigt vil gøre det lettere for uafhængige analytikere at indsende sårbarhedsdata til virksomheder højere oppe i fødekæden, hvilket hidtil har været en kompliceret proces.
Muligheden for at indsende data via et systemet baseret på XML, der kan behandles maskinelt, bør betyde, at sikkerhedsinformationerne vil cirkulere hurtigere og mindre ekskluderende, end det før har været tilfældet.
ICASI har offentliggjort et forklarende white paper (pdf) på sit website, der beskriver rammeværktøjet i detaljer.
Oversat af Thomas Bøndergaard
