Oasis plant XML-Lexikon

Sicherheitsinfos für Web-Services

13.06.2003
MÜNCHEN (CW) - Eine neue Arbeitsgruppe innerhalb des Herstellerkonsortiums Oasis soll eine XML-basierende Beschreibungssprache entwickeln, mit der sich Informationen über Sicherheitsdefizite von Web-Services austauschen lassen.

Das "Application Vulnerability Description Language (AVDL) Technical Committee" bei Oasis soll voraussichtlich im Juli 2003 seine Arbeit aufnehmen. In ihm vertreten sind Hersteller wie Netcontinuum, Qualys, Sanctum und SPI Dynamics, die bereits zuvor an AVDL gearbeitet hatten. Sie wollen nun ein XML-Schema definieren, das Richtlinien enthält, mit denen sich Angriffe auf verteilte Anwendungen einheitlich klassifizieren und bewerten lassen. Diese Informationen sollen sich dann in Sicherheitsprodukten einsetzen lassen. Viele Mitglieder waren zuvor in der Open-Source-Gruppe Web Application Security Project (Owasp) aktiv (http://www.owasp.org). Dieses will Entwickler beim Bau sicherer Web-Anwendungen und Web-Services unterstützen, indem es "Angriffskomponenten" definiert, die Angriffsstrategien von Viren beschreiben. Owasp hat hierzu mit der "Vulnerability Description Language" eine offene XML Document Type Definition entwickelt, die laut Oasis-Konsortium die Grundlage für die Arbeit der AVDL-Gruppe stellt. Zudem will sich die Gruppe an den Vorgaben und standardisierten Bezeichnungen des Schwachstellenkatalogs "CVE" der gemeinnützigen Organisation Mitre (http://cve.mitre.org) orientieren, der sich zunehmend in der Industrie etabliert. (as)