CIS OVAL Repos­i­to­ry съехал на GitHub. Обнаружил, что в феврале этого года CIS настроили редирект с oval.cisecurity.org на github.com/CISecurity/OVALRepo. И это так себе новость, т.к. похоже проект окончательно загнулся и CIS утратили к нему интерес. По случаю хочется сделать небольшой экскурс в историю.

Начиная с 2005 года, развитием OVAL (Open Vul­ner­a­bil­i­ty and Assess­ment Lan­guage) занималась корпорация MITRE. Как артефакт тех времен остался сайт https://oval.mitre.org/. Там была подробная адекватная документация. Был открытый интерпретатор для OVAL (OVAL­di). Был реестр совместимых продуктов. Одним из этих совместимых продуктов там значится сторонний OVAL репозиторий Pos­i­tive Tech­nolo­gies (ныне не работает, можно в архиве глянуть), я приложил к нему руку. 😉 Ещё прикольная строчка это ALTX-SOFT Red­Check как OVAL-ный сканер.

Ещё там был центральный репозиторий, в который можно было контрибьютить OVAL контент. А компаниям, которые больше всех этим занимались, давали Top Con­trib­u­tor Award. Можно посмотреть, что с 2012 года до 2015 года топовым контрибьютором был наш отечественный ALTX-SOFT.

В 2015 в MITRE что-то произошло. Видимо что-то связанное с финансированием. Всю эту OVAL-ную тему начали резко сворачивать. Разработчики разбежались. Сам стандарт ушел в NIST и кое-как поддерживается теперь в рамках SCAP. А центральный репозиторий отдали в CIS (Cen­ter for Inter­net Secu­ri­ty). Веб-репозиторий кое-как повторили. Но на этом всё и закончилось. Какого-то развития от CIS больше не было. Даже Top Con­trib­u­tor Award не восстановили. И вот сейчас даже веб-страницы OVAL Repos­to­ry убрали с сайта CIS, сделали редирект на GitHub. И на сайте CIS‑а упоминания проекта OVAL Repos­to­ry больше нет. 🤷‍♂️

А в самом репозитории на GitHub практически нет свежих коммитов. Какие-то коммиты есть только по дефинишенам для уязвимостей. Но, например, более-менее массово уязвимости Win­dows добавляли последний раз в июне прошлого года.

Почему загнулся центральный репозиторий OVAL контента MITRE/CIS?

1. Пока проект был в MITRE он был достаточно живой. Очевидно потому, что были люди, которые работали над ним на фулл-тайм за гос. финансирование. Как минимум, они неплохо драйвили работу с комьюнити, минутки встреч OVAL Board было интересно почитать.
2. CIS в принципе были мало заинтересованы в этом проекте. Основное у них это CIS Bench­marks и CIS Con­trols. Да, они используют OVAL-контент для проверок конфигураций Win­dows хостов в CIS CAT, но и только.
3. Vul­ner­a­bil­i­ty Man­age­ment вендоры не заинтересованы контрибьютить свои детекты уязвимостей. Даже если они у них есть в виде OVAL. Да, для части вендоров интересно было получать Top Con­trib­u­tor Award и использовать это в маркетинге. Но и они в основном контрибьютили не детекты уязвимостей, а детекты установки софтов. Зачем отдавать в открытый доступ то, что могут использовать другие VM-вендоры?
4. Вендоры ОС теоретически могли бы отдавать свой OVAL-контент, но их к этому не обязывали. А генерить полностью свой контент проще чем реюзать существующие объекты в общем репозитории: убирать дубли, разрешать конфликты в описании и т.п. Да и вендоры ОС без внешней стимуляции не особо стремились поддерживать OVAL контент. Взять Microsoft. Когда была программа FDCC/USGCB по контролю инфраструктуры федеральных агентств, они выпускали свой OVAL/SCAP контент. А как только программа прекратилась, перестали.

Так что если наши регуляторы захотят повторить что-то подобное, лучше сразу продумать мотивацию всех участников. 😉