![[XML]](/images/cats/48x48/xml.gif "XML"){kind=small}
Секьюрити-фирмы ищут общий языкГруппа компаний, специализирующихся на компьютерной безопасности, планирует создать стандартизованный способ обмена информацией о потенциальных проблемах защиты сетей.
В среду организация Advancement of Structured Information Standards (OASIS) объявила о создании технического комитета Web Application Security (WAS), который займется разработкой модели и формата данных для описания проблем безопасности. Планируемый стандарт обеспечит передачу информации посредством документов XML с целью систематизации и оценки рисков, связанных с обнаруживаемыми уязвимостями.
В число компаний, участвующих в техническом комитете OASIS WAS, входят NetContinuum, Qualys, Sanctum и SPI Dynamics.
Сейчас предупреждения о пробелах в защите сетей публикуются в самых разнообразных форматах, что препятствует эффективному общению разных организаций, говорится в заявлении председателя технического комитета OASIS WAS Марка Карфея. Корпорации и госучреждения, а также правоохранительных органы нуждаются в быстром доступе к информации, чтобы препятствовать взломам и проникновению в сети.
"WAS позволит стандартным образом публиковать и получать информацию об уязвимостях. Правоохранительные органы, представители правительства, компании и организации будут одинаково оценивать риски независимо от используемых инструментов или технологий", - говорит Карфей.
Потребность в лучшем способе обмена данными по безопасности приобретает все большую важность, особенно с появлением веб-сервисов, отмечает аналитик ZapThink Рон Шмельцер. По его словам, веб-сервисы используют стандартизованные средства, облегчающие обмен информацией между приложениями. Такой упрощенный обмен данными влечет за собой множество новых проблем защиты, что создает растущую потребность в эффективном способе информирования об уязвимостях. "Веб-сервисы должны будут постоянно проверяться на наличие уязвимостей и взаимодействовать друг с другом, образуя согласованную сеть защищенных систем".
Предложенная спецификация WAS будет работать в сочетании с другими стандартами, разрабатываемыми OASIS, включая Application Vulnerability Description Language (AVDL). Спецификация WAS будет определять правила обмена информацией, а AVDL правила описания уязвимостей. Комбинируя WAS и AVDL, компании, занимающиеся проблемами сетевой безопасности, получат общий формат для определения степени риска.
Технический комитет WAS будет рассматривать относящиеся к этой теме работы других групп и компаний, в том числе аналогичный язык, разрабатываемый в рамках проекта Open Web Application Security.
Источники: