XCCDF (Extensible Configuration Checklist Description Format) è un linguaggio di specifica per la scrittura di elenchi di controllo di sicurezza, benchmark e tipi di documenti correlati. XCCDF è supportato dalla Direzione per l'assicurazione delle informazioni dell'Agenzia per la sicurezza nazionale degli Stati Uniti, dal Center for Internet Security e MITRE.
La specifica è progettata per supportare lo scambio di informazioni, la generazione di documenti, l'adattamento organizzativo e situazionale, i test di conformità automatizzati e il punteggio di conformità. Definisce inoltre un modello di dati e un formato per l'archiviazione dei risultati dei test di conformità dei benchmark. I documenti XCCDF sono espressi in XML e possono essere convalidati con un parser di convalida XML.
Secondo Chris Calabrese del Center for Internet Security:
Ogni amministratore di sistema dispone di criteri e standard locali che i loro sistemi dovrebbero rispettare e ci sono molti strumenti di controllo della sicurezza per verificare la conformità. Tuttavia, molti di questi strumenti non consentono una facile personalizzazione dei criteri locali o di inserire nuove definizioni di criteri di terze parti. XCCDF è un formato basato su XML che risolve questi problemi fornendo un modo unificato per descrivere:
- Criteri / benchmark / standard di configurazione del sistema come quelli del Center for Internet Security o delle Guide alla configurazione della sicurezza dell'NSA.
- Come il software può valutare i sistemi per la conformità alle policy utilizzando Open Vulnerability Assessment Language di Mitre o schemi simili.
- Come le persone e / o il software possono riparare sistemi non conformi.
- Livello di conformità di un particolare sistema a una politica per scopi di reporting.
Per saperne di più:
Il NIST fornisce le ultime specifiche XCCDF e le relative risorse.
Benchmark Editor è uno strumento basato su Java per i documenti di benchmark XCCDF.