Möchte man nicht weiter auf die bekannten Content-Provider angewiesen sein, so wird über kurz oder lang kein Weg daran vorbeiführen, dass die Community selbst entsprechende XCCDF-Profile erarbeitet und zur Verfügung stellt. Linux-Distributoren selbst werden solche Profile kaum bereitstellen können, das hat schon bei Viren- oder IDS-Signaturen nicht funktioniert. Einen ersten Schritt in die richtige Richtung macht dabei das OpenSCAP-Projekt. Unter [10] finden sich erste (inoffizielle) Profile für RHEL5, RHEL6, Fedora und Solaris. Es wäre wünschenswert, wenn die Community diesen Ansatz aufgreifen würde, und weitere Profile für verschiedene Server- und Desktop-Installation zur Verfügung stellen könnte. Wer nach diesem Abkürzungs-Marathon Lust auf mehr hat und ein bisschen mit den diversen SCAP-Standards herumspielen möchte, dem sei das Java-Tool eSCAPe [8] ans Herz gelegt. Hiermit lassen sich im Handumdrehen eigene Content-Dateien erzeugen. Wie sie im Einzelnen aussehen und welche Tests sie durchführen sollen, ist dem Benutzer nahezu freigestellt. (ofr)
Infos