14. Dez. 2022

Standard für maschinen-verarbeitbare Security-Advisories angenommen

Administratoren müssen sicherheitsrelevante Patches und Updates so schnell wie möglich einspielen – dazu sind sie auf vielfältige herstellerspezifische Informationsquellen und Datenformate angewiesen. Im Ernstfall ist so umfangreiche Handarbeit nötig, die wertvolle Ressourcen kostet. Um das zu vereinfachen, spezifiziert das Common Security Advisory Framework (CSAF) ein Format für maschinen-verarbeitbare Security Advisories und deren Verteilung. Das CSAF wurde im November vom internationalen Konsortium für Open Source und Standards (OASIS Open) offiziell als Standard angenommen.

Mit CSAF entfällt der menschliche Aufwand für das Auffinden und Abrufen von aktuellen Sicherheitsinformationen von Softwareprodukten – der Abgleich gegen die eigene Inventardatenbank auf Betreiberseite lässt sich ebenfalls weitestgehend automatisieren. Gleiches gilt für die Hersteller, die einen Abgleich gegen die in ihren Produkten eingesetzten Softwareversionen und deren Bibliotheken vornehmen können.

Die Automatisierung ermögliche laut Bundesamt für Sicherheit in der Informationstechnik die Zeitspanne, die Informationen zu Schwachstellen und mitigierenden Maßnahmen brauchen, um durch eine Lieferkette zu laufen, erheblich zu reduzieren. Für Hersteller ergibt sich ein weiterer Vorteil: Mit dem Profil Vulnerability Expolitability eXchange (VEX) in CSAF können Kunden informiert werden, wenn Produkte nicht betroffen sind oder gerade noch untersucht werden. Das kann nicht zuletzt in weitreichenden Fällen genutzt werden, um den Support zu entlasten, mehr Personal für die Analysen einzusetzen und die neuesten Erkenntnisse schnell zu verteilen. Das gleiche Verfahren lässt sich auch für False Positives beispielsweise bei Schwachstellenscannern einsetzen.

Das BSI und die internationale Community haben bereits Tools zum Erzeugen, Bearbeiten, Verteilen und Betrachten als Open Source auf GitHub bereitgestellt. Wenngleich die US-Partnerbehörde CISA in einem Blogbeitrag diesen Monat erklärte, CSAF zu unterstützen und das BSI und eine Reihe internationaler und nationaler Hersteller bereits CSAF-Dokumente bereitstellen, fehlen noch viele Hersteller. Diese können oft nur durch Nachfragen ihrer Kundinnen und Kunden gewonnen werden, so das BSI. Das Amt ermutige daher Nutzer und insbesondere die Beschaffungsteams, mit Herstellern in den Dialog zu treten und Security-Advisories in CSAF einzufordern.

 

zurück