15.2. Red Hat Security Advisories Alimentação OVAL

Os recursos de auditoria de segurança do Red Hat Enterprise Linux são baseados no padrão Security Content Automation Protocol (SCAP). O SCAP é uma estrutura multiuso de especificações que suporta configuração automatizada, verificação de vulnerabilidade e patch, atividades de conformidade de controle técnico e medição de segurança.

As especificações SCAP criam um ecossistema onde o formato do conteúdo de segurança é bem conhecido e padronizado, embora a implementação do scanner ou editor de políticas não seja mandatada. Isto permite que as organizações construam sua política de segurança (conteúdo SCAP) uma vez, não importa quantos fornecedores de segurança empreguem.

A linguagem de avaliação de vulnerabilidade aberta (OVAL) é o componente essencial e mais antigo da SCAP. Ao contrário de outras ferramentas e scripts personalizados, a OVAL descreve um estado de recursos necessários de forma declarativa. O código OVAL nunca é executado diretamente, mas usando uma ferramenta de intérprete OVAL chamada scanner. A natureza declarativa do OVAL garante que o estado do sistema avaliado não seja modificado acidentalmente.

Como todos os outros componentes SCAP, OVAL é baseado em XML. A norma SCAP define vários formatos de documentos. Cada um deles inclui um tipo diferente de informação e serve a um propósito diferente.

ASegurança de Produtos Red Hat ajuda os clientes a avaliar e gerenciar riscos, rastreando e investigando todas as questões de segurança que afetam os clientes da Red Hat. Ela fornece correções oportunas e concisas e conselhos de segurança no Portal do Cliente da Red Hat. A Red Hat cria e suporta as definições de patches OVAL, fornecendo versões legíveis por máquina de nossos alertas de segurança.

Devido às diferenças entre plataformas, versões e outros fatores, as classificações qualitativas de severidade de vulnerabilidades da Red Hat Product Security não se alinham diretamente com as classificações de base do Common Vulnerability Scoring System (CVSS) fornecidas por terceiros. Portanto, recomendamos que você utilize as definições do RHSA OVAL em vez daquelas fornecidas por terceiros.

As definições da RHSA OVAL estão disponíveis individualmente e como um pacote completo, e são atualizadas dentro de uma hora após uma nova consultoria de segurança ser disponibilizada no Portal do Cliente da Red Hat.

Cada definição de patch OVAL mapeia um a um para uma Consultoria de Segurança da Red Hat (RHSA). Como uma RHSA pode conter correções para múltiplas vulnerabilidades, cada vulnerabilidade é listada separadamente por seu nome Common Vulnerabilities and Exposures (CVE) e tem um link para sua entrada em nosso banco de dados público de bugs.

As definições da RHSA OVAL são projetadas para verificar as versões vulneráveis dos pacotes RPM instalados em um sistema. É possível estender estas definições para incluir verificações adicionais, por exemplo, para descobrir se os pacotes estão sendo usados em uma configuração vulnerável. Estas definições são projetadas para cobrir software e atualizações enviados pela Red Hat. Definições adicionais são necessárias para detectar o status do patch de software de terceiros.