Big O的複雜度測驗

開放式弱點評估標示語言(OVAL)計畫，就是為了解決這個普遍存在的問題，是由MITRE組織所發起的。該組織是一個非營利機構，由美國國土安全部的U.S.-CERT所資助。OVAL試圖要建立一個對於系統弱點偵測的標準，涵蓋大多數資安相關軟體工具、作業系統與專門的資安測試系統等。


OVAL採用可延伸標示語言（XML）作為其內容編寫規範。而MITRE還有另外一個有名的產物，CVE（Common Vulnerabilities and Exposures），它將資安世界的已知弱點以制式規格加以描述、編號。讓資安管理人員有辦法針對部分CVE所條列的系統弱點逐項檢測，以達到符合OVAL的應用系統與平台的要求。



OVAL 會讓檢測人員清楚知道，他們所安裝的軟體是否有安全弱點，以及其相關的安全設定參數。也就是說OVAL提供了一個描述各平台安全弱點的架構，可以透過指定條件搜尋，來判斷一台機器有哪些安全弱點，藉以評估其風險。 聽起來OVAL 像是理論上的產品，而實際上OVAL已經非常實用。MITRE利用OVAL來定義Linux、Solaris、Windows作業系統的安全漏洞，或者其他單機型的弱點評估工具以及各種證明弱點概念的小程式；另外，OVAL的產出是基於開放原碼GPL授權，也就是說它是公開的。


大家可以從該計畫的網站上下載一個文字介面的小工具與弱點定義檔，可用來檢查系統有哪些弱點。更有趣的一點，OVAL的文字介面解譯程式，未來可能會成為各家作業系統的標準元件。例如在不同的Linux套件中，都可能配合像Nmap、Snort或Nessus這類資安工具，將相繼植入OVAL解譯功能。


OVAL可以透過與其相容的工具取得系統的快照（snapshot），然後在檢查此刻系統是否有安全漏洞。OVAL採用XML作為設定檔的格式，因為XML科技已經很成熟，因此也加速了電腦資訊系統稽核與弱點檢查工具的開發與維護，而且使OVAL易於整合程式介面。此外，弱點掃描報告格式，可依照每次掃描目標不同，儲存在不同的檔案中，其他廠商的弱點管理工具可以很輕易地匯入OVAL相關資訊。


OVAL的發展委員會，成員包括來自於Red Hat、Debian、 Microsoft、Cisco Systems 與Symantec等陣營的代表，當然也有官方與非營利組織的代表，透過討論與表決的議程，新增或同意弱點測試項目與OVAL的各項修正。MITRE發表了初步的草案，Debian陣營的Javier Fernandez-Sanguino Pena也已經投入開發Debian系統上的自動弱點檢測工具；Red Hat的Mark Cox也提出了首份以Linux為主的草案。這一切都要感謝開放原始碼社群，無私地奉獻於Linux開發與測試。



OVAL 最終目標在於強化弱點評估測試的品質，讓廠商之間可以分享其分析結果，互相砥礪求進步。用戶也可以自己設計新的測試項目。要做到前述目標，最好的方式就是從一個共通的語言著手，你可以試試看這一類弱點評估軟體，並且說服廠商提高與OVAL的相容性。

JAY BEALE (jbeale@infosecuritymag.com) 任職於Intelguardians資安顧問公司，他是Bastille Linux 系統的作者，也是Syngress Open Source Security 系列書籍的作者之一。