El Common Vulnerability Reporting Framework (CVRF) de la industria de seguridad, una herramienta que ayuda a reportar y compartir vulnerabilidades de seguridad en un formato legible para las máquinas, ha realizado su prometida modernización para hacerlo más sencillo de usar por investigadores externos.
Gestionado por el organismo de la industria, el Consorcio de la Industria para el Avance de la Seguridad en Internet (ICASI – Industry Consortium for Advancement of Security on the Internet), en su versión 1.1 incluye una nueva jerarquía para definir los productos, así como ajustes para asegurar que los datos introducidos en el formato XML esta menos centrada en el proveedor.
También se estrena una serie de pequeños cambios que mejoran la versión 1.0, liberada hace un año, que permite a vendedores y empresas recibir datos de vulnerabilidad de forma automatizada y estandarizada. Sustituyó una multitud de formatos usados por compañías individuales.
Este trabajo continúa con la versión 1.1, se presenta como un paso más para la estandarización del vendedor independiente, cuya ausencia había arriesgado a cerrar el paso a cualquier persona que no conoce cada enfoque, en su mayoría investigadores independientes.
“EL CVRF 1.1 es un importante paso hacia adelante en nuestros esfuerzos por ampliar el conocimiento de las vulnerabilidades de seguridad y simplificar sus reportes”, menciona el presidente de ICASI y gerente general de investigación de seguridad en Cisco, Russell Smoak.
“Las nuevas características y mejoras hacen al CVRF más amigable y más aplicable a un conjunto amplio de requerimientos. Estamos muy agradecidos a los miembros del proyecto quienes han trabajado a conciencia para desarrollar estas mejoras y adiciones”.
Otra influencia en el desarrollo de CVRF fue el apoyo de Microsoft.
“Diversos clientes de negocios pasan tiempo copiando y pegando nuestro boletín de seguridad en sus sistemas de gestión de riesgos, hojas de cálculo y correos electrónicos corporativos de forma manual como parte de su lista de tareas de remediación y cumplimiento de seguridad de TI”, dijo Mike Reavey, del Centro de Respuesta en Seguridad de Microsoft (MSRC).
“Para estos clientes, el formato legible puede permitir más eficacia y automatización”, menciona.
Fuentes: TechWorld
0 comentarios:
Publicar un comentario