С давних времён специалисты по безопасности выпускают отчёты об уязвимостях в различных форматах. Кто-то использует ASCII-графику с логотипами хакерских групп, кто-то составляет тексты в свободной форме. Однако, в последнее время некоторые представители ИТ-индустрии перешли на новый XML-формат Common Vulnerability Reporting Framework (CVRF). Несколько дней назад о принятии этого формата объявила и компания Microsoft.
Первая версия CVRF была выпущена в мае 2011 года, версия 1.1 — в мае 2012-го. Фреймворк основан на стандарте Incident Object Description Exchange Format (IODEF), предложенном IETF.
С принятием этого стандарта все ведущие производители ПО будут выпускать сообщения о новых уязвимостях в едином машиночитаемом формате, что значительно облегчает обмен информацией и автоматизированную обработку бюллетеней.
Структура документа CVRF выглядит следующим образом:
В принципе, фреймворк CVRF задумывался как единый стандарт не только для бюллетеней, но вообще для любой документации в сфере ИБ.
Формат оформления документов CVRF является дополнением к смежным стандартам:
CVE (Common Vulnerabilities and Exposures): «словарь» известных уязвимостей, имеющий строгую характеристику по описательным критериям.
CVSS (Common Vulnerability Scoring System): система оценки важности уязвимости.
