1. SCAP产生背景

• 大量及复杂多样的系统需要保护：一般组织或企业都会安装多种操作系统及上千种应用软件，相同的软件在不同的主机上保护机制各不相同，主机本身的安全配置也有差异，每个系统上需要什么样的安全策略，如何快速、正确一致地实现这些策略要求，则更为复杂，SCAP的出现解决了此难题。
• 快速响应新的威胁：当前 NVD中已经披露的漏洞已经多达20W+个，SCAP的出现可以解决漏洞检测问题；
• 安全工具缺乏互操作性：不同安全厂商的安全工具采用了私有的格式、漏洞及组件命名方法，会导致漏洞的检测和评估不具共享性，难以得到及时有效的修复。

2. SCAP简介

SCAP（Security Content Automation Protocol）是一种安全自动化协议，是由NIST建立的一套规范，主要用于处理网络安全漏洞和安全信息。它提供了一种标准的方法来描述、交换和管理网络安全数据，以便自动检测、响应和缓解网络安全威胁。

SCAP的主要目标是提高网络安全自动化程度，促进安全社区、企业和政府机构之间的协作，以便更有效地识别、应对和预防网络安全威胁。在实际应用中，SCAP规范被广泛应用于安全扫描工具、漏洞管理系统和自动化安全报告等领域。

3. SCAP 12大组件介绍

SCAP最新版本为2018年发布的1.3版本， 主要包括以下12个组件：

• CCE（Common Configuration Enumeration）: 通用配置枚举定义了安全相关的系统配置项的标准标识符与目录，以便于在多个信息源和工具之间快速准确地关联配置数据。

• 维护组织：MITRE
• 地址：https://nvd.nist.gov/config/cce/index

• CPE（Common Platform Enumeration）：通用平台枚举定义了平台及版本的标准名称与目录

• 维护组织：MITRE
• 地址：http://scap.nist.gov/schema/cpe/2.3/cpe-naming_2.3.xsd

• CVE（Common Vulnerabilities and Exposures）：通用漏洞与披露定义了与软件缺陷相关的标准标识符与目录。

• 维护组织：MITRE
• 地址：http://cve.mitre.org/

• CVSS（Common Vulnerability Scoring System）：通用漏洞评分系统一种对软件缺陷特征进行分类并根据这些特征分配严重性分数的方法。

• 维护组织：FIRST
• 地址：https://www.first.org/cvss/specification-document

• OCIL（Open Checklist Interactive Language）：OCIL是一种用于表示从人员或其他数据收集工作所做的现有数据存储中收集信息的检查的语言。

• 地址：https://scap.nist.gov/schema/ocil/2.0/ocil-2.0.xsd

• SWID（Software Identification）：用于表示软件标识符和相关元数据的格式。

• 维护组织：ISO
• 地址：http://standards.iso.org/iso/19770/-2/2015/schema.xsd

• XCCDF（Extensible Configuration Checklist Description Format）：扩展配置检测列表描述格式定义了检查列表与检查报告XML描述格式。

• 维护组织：NSA、NIST
• 地址：https://scap.nist.gov/schema/xccdf/1.2/xccdf_1.2.xsd

• OVAL（Open Vulnerability and Assessment Language）：开放脆弱性评估描述语言定义了用于检查列表的低级测试过程。

• 维护组织：MITRE
• 地址：https://github.com/OVALProject/Language/tree/5.11.2/schemas

• CCSS (Common Configuration Scoring System)：用于测量系统安全配置问题的相对严重性的系统。

• AI（Asset Identification）：用于基于已知标识符和/或关于资产的已知信息唯一地识别资产的格式。

• 维护组织：NIST
• 地址：https://scap.nist.gov/schema/asset-identification/1.1/asset-identification_1.1.0.xsd

• ARF (Asset Reporting Format ) ：一种表示资产信息传输格式以及资产与报告之间关系的格式。

• 维护组织：NIST
• 地址：https://scap.nist.gov/schema/asset-reporting-format/1.1/asset-reporting-format_1.1.0.xsd

• TMSAD (Trust Model for Security Automation Data ) | 在通用信任模型中使用数字签名的规范，适用于其他安全自动化规范。

• 维护组织：NIST
• 地址：https://scap.nist.gov/schema/tmsad/1.0/tmsad_1.0.xsd

若想了解更多关于SCAP的细节，可以参阅官方指南：

• The Technical Specification for the Security Content Automation Protocol - Version 1.3.pdf (下载链接：https://url25.ctfile.com/f/1848625-997464820-45be7b?p=6277，访问密码：6277）

4. 已经支持SCAP的安全工具

1. OpenSCAP

2. McAfee

3. Tenable

4. Qualys

5. 参考链接

• https://csrc.nist.gov/Projects/scap-validation-program/validated-products-and-modules
• https://www.open-scap.org/features/scap-components/