XCCDF est un langage qui vous permet de spécifier des contrôles de sécurité, des repères et d'autres documents. La Direction de l'assurance de l'information de l'Agence nationale de sécurité des États-Unis, le Centre pour la sécurité Internet et MITRE soutiennent XCCDF. La spécification est conçue pour prendre en charge l'échange d'informations, la génération de documents, l'adaptation organisationnelle et situationnelle, les tests de conformité automatisés et la notation de la conformité. Elle définit également un modèle et un format de données pour le stockage des résultats des tests de conformité de référence. Les documents XCCDF sont exprimés en XML et peuvent être validés avec un analyseur syntaxique de validation XML. Selon Chris Calabrese du Center for Internet Security : Chaque administrateur système a des politiques et des normes locales auxquelles ses systèmes sont censés se conformer, et il existe de nombreux outils d'audit de sécurité pour vérifier la conformité. Nombre de ces outils ne sont pas assez flexibles pour permettre la personnalisation des politiques locales ou l'ajout de nouvelles définitions de politiques. XCCDF, un format basé sur XML, résout ce problème en offrant une méthode unifiée pour décrire : - Les politiques/références/normes de configuration du système telles que celles du Center for Internet Security ou des Security Configuration Guides de la NSA. - La manière dont les logiciels peuvent évaluer la conformité des systèmes aux politiques en utilisant le langage d'évaluation des vulnérabilités de Mitre ou des systèmes similaires. Ce que les gens peuvent faire pour réparer les systèmes non conformes. Politique de signalement - Le niveau auquel un système est conforme aux politiques de signalement.
En savoir plus :
- Format de description de la liste de contrôle de configuration extensible (xccdf) Définition - Que signifie le format XCCDF (Extensible Configuration Checklist Description Format)? Le format XCCDF (Extensible Configuration Checklist Description Format) est un format XML utilisé pour spécifier les listes de contrôle de sécurité, la documentation de configuration et les tests de performance.Il était destiné à prendre en charge l'échange d'informations,...
- Fichier de configuration (fichier de configuration) Définition - Que signifie le fichier de configuration (fichier de configuration)? En informatique, les fichiers de configuration fournissent les paramètres et les paramètres initiaux du système d'exploitation et de certaines applications informatiques. Les fichiers de configuration sont généralement écrits en encodage ASCII et contiennent toutes les données nécessaires sur l'application,...
NIST fournit les dernières spécifications XCCDF et les ressources connexes.
- Découverte et intégration de description universelle (uddi) Définition - Que signifie la découverte et l'intégration de description universelle (UDDI)? Universal Description Discovery and Integration (UDDI) est un ensemble de spécifications définissant un service de registre pour les services Web et pour d'autres services électroniques et non électroniques. Un service de registre UDDI est un service Web gérant...
- Cadre de description des ressources (rdf) Définition - Que signifie le cadre de description des ressources (RDF)? Le cadre de description des ressources (RDF) est la norme pour le codage des métadonnées et autres informations structurées sur le Web sémantique. RDF présente de petits morceaux d'informations sous une forme qui en déduit le sens. Cela peut...
Benchmark Editor est un outil basé sur Java pour les documents de référence XCCDF.