Llegamos a ustedes gracias a:



Noticias

Presentan formato de información de vulnerabilidades en seguridad

Common Vulnerability Reporting Framework 1.0 debe permitir que los proveedores compartan datos de manera más sencilla

[30/05/2011] – Tres años después de su fundación, el Consorcio para la Promoción de la Industria de Seguridad en Internet (ICASI) está empezando a dar frutos con el lanzamiento de la versión 1.0 de su framework diseñado para permitir a los proveedores de tecnología compartir datos más fácilmente sobre las vulnerabilidades de software.
En lo que la organización ha estado trabajando es el Common Vulnerability Reporting Framework (CVRF), estándar de información de uso gratuito basado en XML que promete limpiar las diferentes maneras en que las compañías documentan, referido y reportado sobre las vulnerabilidades del software descubierto a través de múltiples tipos de productos.
La industria ya ha salido con el sistema Common Vulnerabilities and Exposures (CVE) para la identificación exclusiva de las fallas de seguridad sin que cada vendedor use una nomenclatura diferente, y el Common Vulnerability Scoring System (CVSS), un sistema de calificación de gravedad.
La idea es que en lugar de que cada proveedor use su propio diseño de informe, en el futuro ellos adopten el CVRF, eliminando así el tiempo consumido y la tarea potencialmente insegura que significa traducir entre la información incompatible, una en la otra, muchas veces.
La norma tiene por objeto no solo a las empresas de tecnología y proveedores de software, sino también a cualquier persona interesada en la seguridad, incluidos los investigadores, los equipos de respuesta de emergencia (CERT), las grandes compañías y gobiernos. El beneficio para los consumidores será indirecto.
Con el uso de los CVRF, los productores de informes de vulnerabilidad se beneficiarán por la rapidez y la mayor información estandarizada, indicó Linda Betz, presidente de ICASI y directora de Políticas de TI y Seguridad de Información de IBM.
Los usuarios finales podrán encontrar, procesos y actos sobre información relevante de forma rápida y sencilla, con un mayor nivel de confianza en que la información sea exacta y completa. Los consumidores se beneficiarán finalmente con sistemas y aplicaciones seguros, señaló.
Los miembros de ICASI son Microsoft, Cisco, Juniper Networks, Nokia, Amazon, IBM e Intel, pero sería un error ver esto como otro estándar de alto nivel diseñado para hacer la vida más fácil para los grandes proveedores.
Una esperanza tácita y a largo plazo es que los CVRF lo hagan más para investigadores independientes que presenten los datos de vulnerabilidad a las empresas más arriba en la cadena, un proceso que ha estado lleno de complejidad hasta ahora. Ser capaz de transmitir datos mediante una máquina que lea el sistema XLM debe permitir que la seguridad de información circule más rápido de lo que ha estado sucediendo en el pasado, sin excluir a los individuos.
ICASI ha publicado un documento explicativo en su sitio web que describe su funcionamiento interno en detalle.
John E. Dunn, IDG News Service