Sicherheitslückenkartei des NIST bald mit Herstellerkommentaren

08.09.2006
Die Datenbank soll zu einer umfassenden Kommunikationsplattform für Softwareschwachstellen erweitert werden.

Die Neuerung geht auf einen Vorschlag von Red Hat zurück. Die Linux-Company hatte sich an das National Institute of Standards and Technology (Nist) gewandt und die Idee präsentiert, dass Anbieter künftig die National Vulnerability Database (NVD) nutzen könnten, um Informationen über Sicherheitslecks in ihren Produkten publik zu machen. Bislang bietet die NVD offizielle Angaben zu bestätigten Schwachstellen in IT-Produkten. Basis hierfür ist der Standard Common Vulnerabilities and Exposures (CVE). Zusätzlich zu diesen genormten Informationen enthält die NVD Analysen, eine Datenbank und eine Suchfunktion. Anwender können sich über die NVD gezielt über Schwachstellen in bestimmten Produkten informieren.

Geht es nach dem Willen von Red Hat, dann können Interessierte über die NVD künftig auch Anleitungen zur Konfiguration und Fehlerbeseitigung, Klarstellungen zur Ausnutzbarkeit von Schwachstellen, tiefergehende Analysen oder Stellungnahmen der Hersteller zu von Dritten gefundenen Fehlern abrufen. Um über die Plattform veröffentlichen zu können, müssen sich Hersteller für einen NVD-Account registrieren.

Das Nist begrüßt die Idee: Softwareanbieter verfügten über das größte Wissen über ihre Produkte und seien am besten in der Lage, zu Schwachstellen Stellung zu nehmen. Der neue Service soll der gesamten Softwareentwicklungsgemeinschaft zur Verfügung stehen.

Es soll so ein laut Red Hat "offenes, transparentes Forum" geschaffen werden, zu dem die Linux-Company als erste Echtzeit-Updates liefern will. Das Unternehmen sieht darin eine "Verbesserung der Kommunikationswege und -mechanismen" und somit aus Sicht von seinem Security Response Director Mark Cox "eine weitere Möglichkeit, unseren Kunden zu helfen". (ave)