XCCDF (Extensible Configuration Checklist Description Format)

XCCDF (Extensible Configuration Checklist Description Format) è un linguaggio di specifica per la scrittura di elenchi di controllo di sicurezza, benchmark e tipi di documenti correlati. XCCDF è supportato dalla Direzione per l'assicurazione delle informazioni dell'Agenzia per la sicurezza nazionale degli Stati Uniti, dal Center for Internet Security e MITRE.

La specifica è progettata per supportare lo scambio di informazioni, la generazione di documenti, l'adattamento organizzativo e situazionale, i test di conformità automatizzati e il punteggio di conformità. Definisce inoltre un modello di dati e un formato per l'archiviazione dei risultati dei test di conformità dei benchmark. I documenti XCCDF sono espressi in XML e possono essere convalidati con un parser di convalida XML.

Secondo Chris Calabrese del Center for Internet Security:

Ogni amministratore di sistema dispone di criteri e standard locali che i loro sistemi dovrebbero rispettare e ci sono molti strumenti di controllo della sicurezza per verificare la conformità. Tuttavia, molti di questi strumenti non consentono una facile personalizzazione dei criteri locali o di inserire nuove definizioni di criteri di terze parti. XCCDF è un formato basato su XML che risolve questi problemi fornendo un modo unificato per descrivere:

- Criteri / benchmark / standard di configurazione del sistema come quelli del Center for Internet Security o delle Guide alla configurazione della sicurezza dell'NSA.

- Come il software può valutare i sistemi per la conformità alle policy utilizzando Open Vulnerability Assessment Language di Mitre o schemi simili.

- Come le persone e / o il software possono riparare sistemi non conformi.

- Livello di conformità di un particolare sistema a una politica per scopi di reporting.

 

Per saperne di più:

Il NIST fornisce le ultime specifiche XCCDF e le relative risorse.

Benchmark Editor è uno strumento basato su Java per i documenti di benchmark XCCDF.