Le vulnerabilità hanno il proprio standard

Alcune società di sicurezza sognano uno standard basato su XML che possa uniformare il modo in cui oggi vengono identificate, classificate e descritte le vulnerabilità di sicurezza. Rimarrà solo un sogno?

San Francisco (USA) - Alcune fra le maggiori società e organizzazioni che operano nel campo della sicurezza hanno dato vita, all'interno del consorzio OASIS, ad un gruppo di lavoro per lo sviluppo di un linguaggio basato su XML per la descrizione delle vulnerabilità di sicurezza del software.

Il linguaggio, battezzato Application Vulnerability Description Language (AVDL), ha l'obiettivo di mettere un po' d'ordine nel mondo della sicurezza e fornire all'industria uno standard attraverso cui poter far parlare tra loro le varie applicazioni di sicurezza oggi esistenti, fra cui quelle per la protezione dei sistemi, per il blocco degli attacchi, per la correzione automatica del software, per la distribuzione delle patch e per la gestione degli eventi di sicurezza.

La speranza dei produttori e degli esperti di sicurezza che appoggiano AVDL è che nel prossimo futuro queste applicazioni possano interoperare attraverso l'uso di un linguaggio uniforme basato su XML capace di semplificare i processi di identificazione, classificazione e correzione dei problemi di sicurezza, compilazione dei bollettini di sicurezza e applicazione delle patch.
Per fare un esempio, AVDL potrà consentire ad uno scanner di vulnerabilità di scambiare dati e informazioni con un sistema per la gestione della sicurezza; quest'ultimo sarà in grado di stilare rapporti dettagliati e sottoporli al vaglio di un amministratore di sistema che, a sua volta, potrà utilizzarli per automatizzare le procedure di installazione delle relative patch.

L'obiettivo, alquanto ambizioso, si dovrà scontrare con le tradizionali divisioni che caratterizzano l'industria della sicurezza. A rendere più difficile la diffusione di questo standard c'è poi il fatto che fra i suoi promotori - Citadel Security Software, GuardedNet, NetContinuum, SPI Dynamics e Teros - mancano i nomi più importanti, come Internet Security Systems, Network Associates, Symantec e grossi vendor come Cisco.
TAG: mercato