Введение в OVAL: Open vulnerability and Assessment Language

[BasilioCat]

Хм, да неужели для Linux наконец-то сделали центральную базу по уязвимостям в машинно-читаемом формате?
/me прячет подальше покрытый пылью веков portaudit из FreeBSD

[isox]

В том то и дело, что нет :) Они сделали инструмент для создания таких баз.
Но по-факту их создает не так много вендоров.

[BasilioCat]

Нууу, тогда не интересно. Кто им, собственно, мешает, учитывая что у них весьма неплохо структурированная база по этим самым уязвимостям? Ну, понятно, чужую работу забесплатно делать никому не охота, договорились бы с вендорами за деньги вести базы по их дистрибутивам

[isox]

Да, все потихоньку к этому и идет.

[dmitriid]

А при чем тут Линукс?

[BasilioCat]

Ну, видимо при том, что для многих других юникс-подобных систем такие БД уже есть. Да и «масс-маркет», на который применение этой БД ориентировано — это Линукс, как ни странно.

[dmitriid]

Какой БД? Если вы про CVE, то там список уязвимостей и для Линукса, и для Виныд ив ообще для чего угодно.

[isox]

Имелось ввиду, OVAL-базы.

[dmitriid]

Но там нет никакой базы :)

[isox]

К примеру вот по этой ссылке можно ознакомиться с репозиторием существующих OVAL XML выгрузок.
Выгрузки создаются из баз данных, в которых хранятся основные объкты языка OVAL и связи между ними. Такие вендоры как Novell или RedHat поддерживают актуальность данных для Linux систем.