L'OASIS, ente internazionale preposto alla codifica degli standard, ha dichiarato di aver lanciato un'iniziativa per lo sviluppo di un linguaggio comune per la descrizione dei problemi di sicurezza nelle applicazioni web.
La Web Application Security Technical Committee dell'OASIS svilupperà uno schema tassonomico per i problemi di sicurezza e un modello per qualificare il grado di rischio e per descrivere le minaccia e il loro possibile impatto. La commissione svilupperà inoltre una traccia per la creazione di documenti che contengano informazioni sulla sicurezza. Tali documenti verranno basati sull'extensible markup language, o XML. Tra le compagnie specializzate in sicurezza che fanno parte della Commissione vi sono NetContinuum, Qualys, Sanctum e SPI Dynamics. Il primo incontro del gruppo si terrà il 3 luglio 2003. Attualmente, gli advisory di sicurezza vengono pubblicati in rete in un linguaggio ambiguo, o in un formato file proprietario. Inoltre, le vulnerabilità sono sovente descritte in modi che quantificano il rischio in modi molto diversi, come commenta Mark Curphy, presidente della commissione WAS (Web Application Security). Il gruppo ritiene che sviluppare un linguaggio universale ridurrà la confusione che regna tra le agenzie governative, le compagnie e altri tipi di organizzazione, indipendentemente dai software utilizzati, spiega Curphy. La Commissione WAS lavorerà congiuntamene con un panel OASIS su una tecnologia chiamata Application Vulnerability Description Language. L'AVDL dovrebbe fornire uno standard per le comunicazioni riguardanti la sicurezza dei prodotti. Inoltre, la commissione WAS prenderà in considerazione simili tecnologie proposte da gruppi esterni. L'Open Web Application Security Project, creato dalla comunità open source, per esempio, ha previsto di sottoporre il proprio Vulnerability Description Language (VulnXML) al panel OASIS.
fonte: vnunet
La Web Application Security Technical Committee dell'OASIS svilupperà uno schema tassonomico per i problemi di sicurezza e un modello per qualificare il grado di rischio e per descrivere le minaccia e il loro possibile impatto. La commissione svilupperà inoltre una traccia per la creazione di documenti che contengano informazioni sulla sicurezza. Tali documenti verranno basati sull'extensible markup language, o XML. Tra le compagnie specializzate in sicurezza che fanno parte della Commissione vi sono NetContinuum, Qualys, Sanctum e SPI Dynamics. Il primo incontro del gruppo si terrà il 3 luglio 2003. Attualmente, gli advisory di sicurezza vengono pubblicati in rete in un linguaggio ambiguo, o in un formato file proprietario. Inoltre, le vulnerabilità sono sovente descritte in modi che quantificano il rischio in modi molto diversi, come commenta Mark Curphy, presidente della commissione WAS (Web Application Security). Il gruppo ritiene che sviluppare un linguaggio universale ridurrà la confusione che regna tra le agenzie governative, le compagnie e altri tipi di organizzazione, indipendentemente dai software utilizzati, spiega Curphy. La Commissione WAS lavorerà congiuntamene con un panel OASIS su una tecnologia chiamata Application Vulnerability Description Language. L'AVDL dovrebbe fornire uno standard per le comunicazioni riguardanti la sicurezza dei prodotti. Inoltre, la commissione WAS prenderà in considerazione simili tecnologie proposte da gruppi esterni. L'Open Web Application Security Project, creato dalla comunità open source, per esempio, ha previsto di sottoporre il proprio Vulnerability Description Language (VulnXML) al panel OASIS.
fonte: vnunet
