Admins müssen sicherheitsrelevante Patches und Updates so schnell wie möglich einspielen. Ansonsten bleibt eine Schwachstelle offen, durch die womöglich Hacker ins System eindringen können. Das internationale Konsortium für Open Source und Standards „Oasis Open“ hat jetzt einen offiziellen Standard, über den Software-Sicherheitsinformationen verbreitet werden können.
Bisher müssen Admins die Informationen über offene Sicherheitslücken, Patches und Updates mühsam zusammenzusuchen. Sie müssen verschiedene Herstellern, verschiedene Informationsplattformen und verschiedene Formaten in ihre Suche einbeziehen. Der manuelle Arbeitsaufwand ist hoch. Dabei besteht die Gefahr, dass Schwachstellen nicht mitigiert – also abgeschwächt werden – weil die relevante Information übersehen wird.
Das Common Security Advisory Framework (CSAF) ist jetzt der offizielle Oasis Open-Standard für Sicherheitsinformationen. Der Standard ermöglicht es wichtige Aufgaben zu automatisieren, denn er ist computerlesbar. Ein automatischer Prozess kann die eigene Inventardatenbank mit den Sicherheitsinformationen über Softwareprodukte in CSAF abgleichen. Außerdem enthält der Standard ein Profil namens VEX. Die Abkürzung steht für „Vulnerability Exploitability eXchange. Damit können die Hersteller die Anwenderinnen und Anwender informieren, wenn ihre Produkte von Schwachstellen nicht betroffen sind oder noch untersucht werden.
Empfohlen wird CSAF sowohl vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dessen US-amerikanischem Gegenstück, der Cybersecurity and Infrastructure Security Agency (CISA). Das BSI und die internationale Gemeinschaft haben schon Tools für den Standard auf der Programmierplattform GitHub bereitgestellt.
