「网络安全常用术语解读」通用安全通告框架CSAF详解

1. 简介

通用安全通告框架（Common Security Advisory Framework，CSAF）通过标准化结构化机器可读安全咨询的创建和分发，支持漏洞管理的自动化。CSAF是OASIS公开的官方标准。开发CSAF的技术委员会包括许多公共和私营部门的技术领导者、用户和影响者。CSAF最新版本为2022年11月18日发布的2.0版本。点此获取 (访问密码: 6277)

在这里插入图片描述

提供商可以使用CSAF来标准化安全咨询的格式、内容、分发和发现。这些机器可读的JSON文档使管理员能够自动将安全通告与用户的资产数据库甚至供应商的软件材料清单（SBOM）数据库进行比较。

2. CASF主要内容

CASF涉及的主要模板如下：

"$defs": {
"acknowledgments_t": {
// ...
},
"branches_t": {
// ...
},
"full_product_name_t": {
// ...
},
"lang_t": {
// ...
},
"notes_t": {
// ...
},
"product_group_id_t": {
// ...
},
"product_groups_t": {
// ...
},
"product_id_t": {
// ...
},
"products_t": {
// ...
},
"references_t": {
// ...
},
"version_t": {
// ...
}
},

熟悉CVRF的同学都知道，CASF 是 CVRF的演进升级，主要内容与CVRF差不多。可以通过CVRF CSAF converter开源工具实现CVRF到CASF的转换。工具地址：https://github.com/csaf-tools/CVRF-CSAF-Converter

若想了解更多关于CVRF的信息，可以参阅博主前期文章《「网络安全常用术语解读」通用漏洞报告框架CVRF详解》

若想了解更多CASF规范细节，可以参阅如下官方文档（共计123页）：

Common Security Advisory Framework Version 2.0.pdf (访问密码: 6277)

在这里插入图片描述

3. CSAF工具和指南

CSAF定义了一致性目标，帮助消费者和生产者找到适合他们需求的工具。OASIS CSAF技术委员会还开发了一套使用CSAF的工具，可以提供给用户和安全通告商使用：

CSAF Downloader是一个用于从CSAF提供商下载咨询的工具。
Secvisogram是一个在线编辑器，用于创建、更新和查看CSAF文档。它还可以生成文档的人类可读版本。
CSAF CMS Backend是一个正在进行中的CSAF内容管理系统的实现。该系统将通过提供元数据创建的工作流程和自动化来支持CSAF文档的制作者。
CSAF Validator Service 是一种基于REST的服务，用于实现CSAF完整验证器目标。它根据规范测试给定的CSAF文件。
CSAF Provider是CSAF Trusted Provider角色的实现，并提供简单的基于HTTPS的管理服务。它充当一个静态站点生成器，按照标准的要求呈现CSAF文件。
CSAF Checker是根据CSAF标准第7节测试CSAF可信提供商的工具。它在不考虑指定角色的情况下检查需求。

4. 参考

[1] https://www.darkreading.com/threat-intelligence/csaf-is-the-future-of-vulnerability-management
[2] https://github.com/csaf-poc/csaf_distribution/tree/main

推荐阅读：