バージョンアップ情報
OpenSCAP情報
OpenSCAPとは
OpenSCAPとは、NIST(アメリカ国立標準技術研究所)によって策定された"自動化された脆弱性管理を可能にするための標準化された手順"であるSecurity Content Automation Protocol (SCAP)を実装したオープンソースのソフトウェアです。
主な特徴
組織はコンピューターシステムをセキュリティの脅威から保護するために、コンピューターシステムとアプリケーションを継続的に監視し、セキュリティに問題のあるソフトウェアをバージョンアップする必要があります。 セキュリティコンテンツ自動化プロトコル(SCAP)は、ソフトウェアの欠陥やセキュリティに関連する構成の問題を列挙するために広く使用されている多くのオープンスタンダードによって構成されています。
SCAPは、下記の(SCAPコンポーネントと呼ばれる)オープンスタンダードで構成されています。
SCAPコンポーネント
SCAPバージョン1.0以降(2009年11月)
- Common Vulnerabilities and Exposures (CVE)
- Common Configuration Enumeration (CCE) (prior web-site at MITRE)
- Common Platform Enumeration (CPE)
- Common Vulnerability Scoring System (CVSS)
- Extensible Configuration Checklist Description Format (XCCDF)
- Open Vulnerability and Assessment Language (OVAL)
SCAPバージョン1.1以降(2011年2月)
SCAPバージョン1.2以降(2011年9月)
- Asset Identification
- Asset Reporting Format (ARF)
- Common Configuration Scoring System (CCSS)
- Trust Model for Security Automation Data (TMSAD)
SCAPバージョン1.3以降(2018年2月)
OpenSCAPは、システムを測定するときにこれらのオープンスタンダードを使用して脆弱性を見つけ、考えられる影響を評価するためにスコアリングした結果をユーザに提供します。
OpenSCAPからは複数のツールが提供されていますが、OpenSCAP Baseというコマンドラインから実行する脆弱性スキャナーがコアとなるツールです。その他には、下記のツール群が提供されており、OpenSCAP Baseと組み合わせて使うことで自動化された脆弱性管理の手助けをします。
動作環境
OpenSCAP Base
各種Linux
Windows (ただし動作確認バージョンは1.3.4まで)
その他のツールの動作環境はそれぞれのツールの詳細ページにて確認してください。
OpenSCAPのライセンス
OpenSCAPは、LGPL2.1ライセンスの元に提供されているオープンソースのソフトウェアです。ユーザはそのソフトウェアの使用や頒布、修正、派生版の頒布をすることに制限を受けません。
オープンソース年間サポートサービス
OpenStandiaではOSSを安心してご利用いただけるように、オープンソース年間サポートサービスをご提供しております。
サポートしているOSSは下記ページをご参照ください。
関連OSS
-
サポート対象Red Hat Enterprise Linux
レッド ハット エンタープライズ リナックス。Red Hat社によって開発、販売が行われている製品版Linuxディストリビューション
-
サポート対象Docker
ドッカー。ソフトウェアコンテナを用いたアプリケーションのデプロイメントを自動化する仮想化オープンソースソフトウェアです。