XCCDF (formato de descripción de lista de verificación de configuración extensible)

XCCDF (Formato de descripción de lista de verificación de configuración extensible) es un lenguaje de especificación para escribir listas de verificación de seguridad, evaluaciones comparativas y tipos de documentos relacionados. XCCDF cuenta con el apoyo de la Dirección de Garantía de la Información de la Agencia de Seguridad Nacional de EE. UU., El Centro para la Seguridad de Internet y MITRE.

La especificación está diseñada para respaldar el intercambio de información, la generación de documentos, la adaptación organizacional y situacional, las pruebas de cumplimiento automatizadas y la puntuación de cumplimiento. También define un modelo y formato de datos para almacenar los resultados de las pruebas de cumplimiento de referencia. Los documentos XCCDF se expresan en XML y se pueden validar con un analizador de validación XML.

Según Chris Calabrese del Center for Internet Security:

Cada administrador de sistema tiene políticas y estándares locales que se supone que deben cumplir sus sistemas, y existen muchas herramientas de auditoría de seguridad para verificar el cumplimiento. Sin embargo, muchas de estas herramientas no permiten una fácil personalización de la política local o la inclusión de nuevas definiciones de políticas de terceros. XCCDF es un formato basado en XML que aborda estos problemas proporcionando una forma unificada de describir:

- Políticas / puntos de referencia / estándares de configuración del sistema, como los del Centro para la seguridad de Internet o las Guías de configuración de seguridad de la NSA.

- Cómo el software puede evaluar los sistemas para el cumplimiento de políticas utilizando el lenguaje de evaluación de vulnerabilidad abierta de Mitre o esquemas similares.

- Cómo las personas y / o el software pueden reparar los sistemas que no cumplen.

- Qué tan bien un sistema en particular se ajusta a una política para propósitos de informes.

 

Aprende más:

NIST proporciona las últimas especificaciones XCCDF y recursos relacionados.

Benchmark Editor es una herramienta basada en Java para documentos de referencia XCCDF.