Indústria concorda com o formato de relatório de vulnerabilidades

ICASI Industry Consortium for Advancement of Security on the InternetTrês anos após sua fundação, o ICASI (Industry Consortium for Advancement of Security on the Internet – Consórcio Industrial para Avanço da Segurança na Internet) está começando a colher os frutos do lançamento da versão 1.0 de seu framework destinado a facilitar o compartilhamento de informações das vulnerabilidades de software. É o CVRF (Common Vulnerability Reporting Framework), um padrão baseado em XML, conforme apresentamos aqui no blog recentemente.

A indústria já tem o sistema CVE (Common Vulnerabilities and Exposures), para identificar unicamente falhas de segurança sem que cada companhia usasse uma nomenclatura diferente, e o CVSS (Common Vulnerability Socring System), um sistema para classificação da severidade das falhas. O CVRF é o última grande peça nesse esquema industrial.

A padronização não é focada só nas companhias tecnológicas e distribuidores de software, mas também em qualquer um com interesse na segurança, incluindo pesquisadores, CERTs ou CSIRTs (grupos de resposta a incidentes), grandes companhias e governos. Haverá um benefício indireto para os usuários e consumidores finais.

O ICASI publicou um white paper explicativo sobre isso, que descreve o funcionamento do CVRF em detalhes.

Via: Industry Agrees on Security Vulnerability Reporting Format