PR

 XMLなどの情報構造化と処理技術の標準化を行っている非営利業界団体OASIS(Organization for the Advancement of Structured Information Standards)は7月16日,Webアプリケーションのぜい弱性を記述するためのオープンなデータ形式を策定すると発表した。仕様には分類構造,脅威や影響,危険度などを評価するためのモデル,セキュリティ条件を記述するためのXMLスキーマを含める予定である。OASISは,評価/防御ツールを使って仕様を設計したという。

 OASISは,仕様の開発を監査するWAS(Web Application Security)技術委員会を発足している。このチームは,他のグループや企業からの協力も考えている。OASISのスポークスマンによると「OWASP(Open Web Application Security Project)という政府や業界を手助けするオープンソース・コミュニティのグループが,WebアプリケーションやWebサービスのセキュリティを改善/理解できるように検討しており,ぜい弱性記述言語VulnXML(Vulnerability Description Language)を新しいOASISの技術委員会に提出する計画である」と語った。

 OASIS WAS技術委員会の議長Mark Curphey氏は「現在のところ,セキュリティ勧告は,不明瞭なテキスト形式または独自のデータ・ファイルによって提供されている。同じぜい弱性は異なる言語と文脈を使い,いくつかの異なる方法で記述される」という。「WASにより,ぜい弱性が一貫した方法で受信できるようになる。採用する技術,ツールにかかわらず,法の執行機関,政府,代表,企業,組織がリスクを理解できるようになる」と語った。

(Mark Joseph Edwards)