Компания «Базальт СПО», занимающаяся разработкой системного программного обеспечения на базе Linux, в том числе по требованиям российского законодательства в области защиты информации, реализовала описание закрытых уязвимостей ОС семейства «Альт» на языке OVAL (Open Vulnerability and Assessment Language, «Открытый язык уязвимостей и оценки»). Нововведение позволит заказчикам оперативно получать сведения об исправлениях и централизованно управлять обновлениями безопасности ПО внутри организации.
В формируемых «Базальт СПО» файлах OVAL содержатся описания целевых конфигураций операционных систем для применённого исправления и ссылка на информационный бюллетень с подробными сведениями. Доступны данные для баз БДУ (Банк данных угроз безопасности информации ФСТЭК России) и CVE (Common Vulnerabilities and Exposures).
Источник изображения: pikisuperstar / freepik.com
Отмечается, что для каждой программной платформы, на которой базируется одно поколение операционных систем «Альт», создаётся отдельный файл формата OVAL. Файлы обновляются ежедневно после публикации репозитория. Информация об исправлениях сохраняется в них в реальном времени и сразу становится публичной.
С использованием данных OVAL и соответствующих программных инструментов IT-администраторы могут управлять обновлением операционных систем в сети организации. Дистрибутивы «Альт» поставляются с приложением Trivy, поддерживающим работу с упомянутым форматом. В составе платформ «Альт СП» и «Альт Виртуализация» также имеются средства для взаимодействия с файлами OVAL и своевременного развёртывания апдейтов.
Источник:
