椭圆形,椭圆形采纳和使用要求和建议

需求和建议采用椭圆形和使用

日期:2013年8月22日

文档版本:1.1

认为PDF

表的内容

介绍

本文概述了需要满足的要求和建议为了一个产品,服务,网站,数据库,或咨询/警报正确实现对总统的支持。与此同时,这些需求描述的支持和推荐方法利用杠杆椭圆形椭圆形内容和其他功能。

请发送任何评论或担忧这个文档oval@mitre.org。

回到顶部

定义

本文档中使用以下条款:

评价方法-

一个特定的产品或服务使用方法来评估一个椭圆的定义。椭圆形支持评估通过:

查询到数据库的一个端点(例如,任何计算设备可以连接到一个网络等系统、网络设备、移动设备等)当前的配置设置。
基于主机的传感器状态评估。
评估状态的远程扫描传感器。

能力,

一个特定的功能或功能的产品,服务,或存储库。

端点,

如上所述在互联网工程任务组(IETF)”网络端点评估(NEA):概述和需求,RFC 5209”文档,端点是任何计算机设备,可以连接到一个网络等计算机系统、服务器、网络设备、移动设备等。”这类设备通常与一个特定的链路层地址加入网络之前和潜在的网络上的一个IP地址一次。”

老板,

创造者、卖方或维护者的产品,服务或存储库。

用户-

一个消费者(或潜在消费者)的一个产品,服务,或存储库。

产品- - - - - -

安全应用程序、设备或安全数据库有一个或多个功能。

库- - - - - -

一个隐式或显式安全元素的集合,支持一个产品(比如,一个漏洞数据库,一组签名在评估产品或服务,或网站)。

正确性测试,

决定一个产品的过程、服务或库正确采用椭圆形。

测试结果-

数据代表的结果正确性测试。

审查机构——

实体执行正确性测试和授权正式承认,产品,服务或存储库已正确地采用椭圆形(斜方公司是唯一审查机构在这个时候)。manbetx客户端首页

回到顶部

采用功能

椭圆形认养项目是基于五个不同的功能,针对不同的使用椭圆形的语言。这些功能使椭圆社区的成员很容易了解一个给定的产品是使用椭圆语言和如何满足他们的需求。

创作工具	产品,艾滋病的过程中创造新的椭圆文件(包括产品,巩固现有椭圆定义成一个单一的文件)。
定义评估者	一个产品用一个椭圆的定义来指导评估和产生椭圆形(全部结果)结果作为输出使用一个或多个支持的椭圆形的评估方法。
定义存储库	椭圆的定义的存储库提供社区(免费或支付)。
结果消费者	产品,接受椭圆形结果作为输入,并将结果显示给用户,或者使用结果来执行一些操作(修复、SIM卡等)。
系统特征生产商	的产品文档生成一个有效的椭圆形的系统特征的基础上,使用一个或多个端点的细节OVAL-supported评估方法。

回到顶部

常见的应用需求

下列条件适用于所有功能实现对总统的支持,不管他们计划实施的能力。如果产品、服务或库满足所有适用的要求,那么所有者应当接受正式确认正确采用椭圆形。然而,业主不得做广告正式确认采用椭圆形,直到审查机关已经批准了。

一般

这些需求处理一般采用椭圆形的各个方面。

1.1 -业主应当有效的法律实体(即。一个组织或一个特定的个体,一个有效的电话号码、电子邮件地址、街道地址)。

1.2 -所有者应当同意遵守所有的强制采用椭圆形需求,其中包括特定能力的强制性要求。

1.3 -业主应提供审查机关的技术联系人有资格回答问题对于任何OVAL-related功能的产品,服务,或存储库的准备和协调产品、服务或存储库的正确性测试。

1.4 -业主应提供审查机关,完成“椭圆采用问卷形式。”This form will be sent once the declaration process has been satisfied. Please see the section "How to Declare Your Product, Service, or Repository as an OVAL Adopter" for more information.

1.5 -所有者应当审查机关提供免费物品需要执行正确性测试,包括测试结果和/或存储库,以确定符合所有相关的需求。

1.6 -业主审查机关工作的产品,服务,或存储库用于正确性测试。

1.7 -的一部分接收正式确认正确采用椭圆形,所有者应当同意支持审查机关在后续的测试活动,在适当的文件类型将交换与其他组织试图证明他们的产品的正确性,服务或存储库。这将是由检查机关和保持合理水平的努力。

1.8 -以外的产品应提供额外的价值或信息中提供的椭圆形本身。因此,转发或提供引用单个源的椭圆的定义是由别人不是本身被认为是足够的正式确认正确采用椭圆形。

1.9 -产品,应当向公众提供服务,或存储库或一组消费者。

1.10 -产品、服务或库中应当写明的模式(s)和版本是兼容的。

正确性

2.1 -业主应当意味着为用户提交正确的错误中找到在任何椭圆形椭圆形的使用和产生的内容产品,服务或存储库。

2.2 -所有者应当有一个计划来解决任何正确性错误报道。

2.3 -所有者应当解决任何错误报告正确性后一个合理的时间框架内最初报告的错误。

文档

下列条件适用于文档提供一个椭圆采用者的产品,服务或存储库。

3.1 -产品应包括在其文档采用椭圆形,椭圆形的简要描述,包括逐字的部分文件在椭圆形的网站。

3.2 -产品应写明其文档中任何组件模式或个人测试,它不支持。例如,如果一个产品申请正式确认正确采用椭圆定义评估者和不支持Windows metabase测试,产品,服务,或存储库文档应当不相容。

3.3 - - - - - -产品或服务应当写明其文档的三个OVAL-supported评价方法(s)使用的产品或服务。

3.4 -产品、服务或存储库的文档中应当写明用户必须遵守的程序提交正确性错误中发现任何椭圆形内容产生的产品。

3.5 -如果文档包含在产品,服务,或存储库包含一个索引,那么它应包括引用OVAL-related文档在术语“椭圆”。

有效性

椭圆形采用者必须使用有效证件。这有助于确保信息被正确格式化的文档结构遵循椭圆形的语言。

4.1 -产品、服务或库应当验证所有的椭圆形内容(包括生产和消费)对的版本使用W3C XML Schema验证椭圆形语言和它所遵守。

4.2 -产品、服务或库应当报告任何W3C XML Schema验证错误给用户。

4.3 -产品、服务或库应当验证所有的椭圆形内容(包括生产和消费)对椭圆形的版本使用Schematron验证语言和它所遵守。

4.4 -产品、服务或库应当报告任何Schematron验证错误给用户。

回到顶部

特定的功能需求

下列条件相关的具体采用功能之前概述和只适用于产品,服务,或存储库获得正式确认正确采用椭圆形寻找特定的功能。

系统特征生产商

这些要求适用于所有产品或服务意愿产生特定的端点信息在椭圆形的系统特征模式格式。

5.1 -产品或服务应当使用一个独特的项目ID(在每个文件的基础上独特的)为每个特定的系统特征项收集。

5.2 -产品或服务应生成的系统特征项包含的系统配置值聚集在产品或服务时对端点执行。

5.3 -用一个椭圆的产品或服务定义文档生成系统特征项应包括系统特色collected_objects部分对象为每个对象收集输入椭圆定义文档。

定义存储库

这些要求适用于所有存储库,打算提供一个椭圆的定义模式格式的信息集合。

6.1 -所有椭圆的定义、测试对象,国家,和变量应当包含一个惟一的ID对所有其他椭圆定义、测试对象,在椭圆形社区和变量。

6.2 -每个存储库应该用自己独特的常数名称空间部分的ID在所有椭圆的内容。

6.3 -每个椭圆的定义、测试对象,状态和变量应保持相同的ID在它的存在。这使用户能够参考这些项目基于稳定的ID。现有的项目不应该被重写为其他目的,因为用户可能会引用项目的内容。

6.4 -每个更新或修改一个椭圆的定义,测试中,存储库中的对象,状态,或变量将导致项目的版本被增加。同样,每个条目引用更新或修改项目还应当有其版本递增。这个级联的版本更新引用项目不需要超越引用椭圆形自定义椭圆定义提供一个逻辑单元。

6.5 -椭圆定义元数据应符合椭圆定义内容(例如,受灾家庭不应该“windows”,如果测试是检查Red Hat RPM)。此外,元数据应当体现椭圆定义的所有内容,这意味着元数据可能需要部分为每个受影响的家庭当一个椭圆的定义适用于超过一个家庭。

6.6 -一个存储库,其中包含一个椭圆定义特定的脆弱性应包括,当可用,CVE的名字作为参考。

6.7 -一个存储库,其中包含一个椭圆的定义应包括检查一个特定的配置状态,当可用时,CCE ID作为参考。

6.8 -一个存储库,其中包含一个椭圆的定义应包括检查一个特定的平台,当可用时,CPE的名字作为参考。

6.9 -所有者应当文档用户可以检索的过程内容更新。

创作工具

这些要求适用于所有产品或服务,旨在帮助促进椭圆形的创建或修改内容。

7.1 -一个编写工具应提供一个搜索界面允许用户搜索椭圆定义、测试对象,通过ID和变量。

7.2 -一个编写工具应该鼓励重用现有的椭圆的定义、测试对象,国家,和变量。

7.3 -一个创作工具应该允许用户调用验证一个椭圆形的语言编写文档和报告所有W3C XML Schema和Schematron错误给用户。

7.4 -一个创作工具应当允许用户导入和编辑现有的椭圆内容。

7.5 -创作工具应当允许用户导出内容,创造的工具,作为有效的椭圆形语言文件。

7.6 -重复内容创作工具应该报告给用户。

7.7 -创作工具应当提供价值和能力超越一个XML编辑器的能力。

定义评估者

这些要求适用于所有产品或服务,打算评估指定端点使用,作为输入,在椭圆的定义模式提供的信息格式。一旦评估已经完成,结果必须在椭圆形的结果模式可用的格式。

8.1 -用户应当能够确定椭圆的定义被评估。

8.2用户应当能够检查每个椭圆定义所评估的细节。这个要求确保椭圆的定义用户让他们看到一个特定的问题是被测试。

8.3 -如果产品或服务不使用椭圆定义在运行时,所有者应当文档的过程用户可以向业主提交椭圆的定义解释的产品。这包括声明定义速度报业主可用产品。

8.4 -产品或服务应能解释所有的逻辑在每个椭圆的定义和随后的椭圆形测试按照逻辑运算符。

8.5 -由产品或服务决定的结果评估目标端点基于椭圆定义中指定的细节。

8.6 -用户应当能够确定所有椭圆定义的结果用于评价目标端点。

8.7 -产品或服务应生成准确的,可预测的,可重复的结果当使用一组特定的椭圆的定义和端点状态信息。

8.8 -产品或服务产生的结果应提供完整的椭圆形结果格式。这允许其他产品或服务,想利用详细的评估信息,获得所需的信息。薄的结果也可能是可用的,但是全部结果是必需的。

8.9 -当一个椭圆的定义被评估不止一次在一个端点,每次使用不同的值的变量,椭圆形的结果文件应包括独特的实例变量值为每个单独的案例。

8.10 -产品或服务应当使用“不评估”的结果为所有椭圆定义初始椭圆定义文件的一部分,但是并没有被报道。这对给定的椭圆定义满足8.6的要求。

8.11 -任何使用或翻译一个椭圆的定义到产品或服务的内部语言应当体现相同的逻辑与原始椭圆的定义。

结果消费者

这些要求适用于所有产品或服务,打算消费信息在椭圆形结果模式的格式。

9.1 -椭圆结果文件中定义的每个端点被消耗,用户应当能够确定具体的椭圆定义被报道。

9.2 -用户应当能够检查椭圆形结果文件的细节被消耗。这可以很简单,比如允许用户打开XML文件。这一要求的目的是确保开放给用户使用的椭圆形的结果让他们检查报告的数据。

9.3 -如果产品或服务不使用椭圆形结果文件在运行时,所有者应当文档的过程,用户可以提交椭圆形的主人解释的结果文件的产品或服务。这包括规定速度文件提交给业主提供的产品或服务。

回到顶部

审查机关要求

以下是需求与椭圆形收养,审查机关必须坚持。

10.1 -审查机关应当清楚地识别采用的版本,需求文档的版本,和椭圆形的版本语言是用来确定正式坚持采用椭圆形要求每个产品,服务或存储库。

10.2 -审查机关应当定义和发布示例测试材料。

10.3 -审查机关公布的信息如何参与正确性测试,以便组织可以尽可能多的提前做好准备。

10.4 -审查机关应当提供一个联系人安排正确性测试功能支持总统宣布已经完成了“椭圆采用问卷形式。”

10.5 -审查机关重新测试一个产品,服务,或存储库已被正式承认为采用椭圆形审查机关的自由裁量权。

回到顶部

撤销

如果审查机关验证,产品,服务,或存储库正确采用椭圆,但在稍后的时间审查机关有证据表明需求不再被满足,那么审查机关可以撤销其批准,产品,服务,或存储库将不再被正式承认为正确采用椭圆形。以下是检查机关必须遵循的要求为了撤销确认。

11.1 -审查机关应当提供产品,服务,或存储库所有者的警告前至少两(2)个月撤销撤销计划发生。

11.2 -审查机关撤销的日期可能会推迟。

11.3 -如果审查机关发现,老板的动作或声称是故意误导,然后审查机关可以跳过警告。审查机关可以解释这个短语“故意误导”的愿望。

11.4 -如果审查机关发现业主对采用的行为需求是故意误导然后撤销应持续至少一年。

11.5 -审查机关确定的具体需求没有得到满足。

11.6——如果老板认为,需求得到满足,那么所有者应当响应撤销提供具体细节的警告表明为什么产品,服务或库中符合要求的问题。

11.7 -如果业主修改产品,服务,或存储库,使它符合要求的问题,在预警期间,那么审查机关应该结束撤销操作的产品,服务或存储库。

11.8 -审查机关公布的正式确认正确采用椭圆被撤销的产品,服务或存储库。

11.9 -审查机关宣传撤销的原因。

回到顶部

如何声明你的产品、服务或库作为一个椭圆形采用者吗

开始采用椭圆形过程,发送一个电子邮件oval@mitre.org请求“采用椭圆形申报表”。This form, along with a copy of the "Requirements and Recommendations for OVAL Adoption and Use," will be sent to you for review. Once the form has been completed, email it back tooval@mitre.org进行处理。