Ubuntu 是否已停止发布 EOL 版本的 OVAL 文件,或者它们是否存档在某处但仍可访问?
以下是有关 OVAL 数据的 Ubuntu 官方信息:https://ubuntu.com/security/oval
为 SCAP 扫描器添加 OVAL 定义变得越来越重要,这些扫描器可以查找和修复 EOL 发行版中的漏洞。有人可能会说 OVAL 最适用于识别未打补丁的软件,特别是在不再有供应商支持的 EOL 系统上。
有许多合法的场景,例如医疗保健和资金有限的关键基础设施,可以节省 ESM 的开支。当人们的健康或公用事业的可用性受到关注时,IT 和安全等成本中心并不是优先事项。这就是为什么 OVAL 应该永久存在的原因,因为它们会随着时间的推移变得更有价值,而当发行版尚未达到 EOL 时,它们的价值就会降低。
其他发行版正是这样做的:
所有 OVAL 文件均由 Red Hat 发布:https://www.redhat.com/security/data/oval/
无论 EOL 状态如何,Ubuntu 都应保持 OVAL 出版物可用,考虑到上述理由,即 OVAL 只有在 EOL 状态到位后才最有用。
我还希望 Ubuntu 安全团队或熟悉使用 Ubuntu OVAL 的社区成员能够澄清其中的一些问题。
笔记:当前版本的 OVAL 文件不由 或任何其他版本特定机制分发apt。不要混淆文件名的命名约定,因为它在某种程度上固有地限制了仅由操作系统或 使用的文件的寿命或可用性apt。Ubuntu 操作系统不会以任何方式使用 OVAL 文件,并且如果在 Hirsute 版本上使用,Warty 的 OVAL 文件将具有相同的值,因为 OVAL 描述的受影响软件包实际上与 Ubuntu 版本的语义命名或 OVAL 文件名的语义命名无关。
答案1
OVAL 文件的语义命名和分发机制与 Ubuntu 版本代号相同。因此,当 Hirsute 停产时,语义上命名为 Hirsute 的 OVAL 文件将不复存在,因为它可以使用 Hirsute 文件发布基础架构获得。
虽然 OVAL 没有理由与语义命名方案紧密结合,并且它们的主要用例是在版本 EOL 时,但不幸的是,当 Ubuntu 版本 EOL 时这些文件会被删除。
如果在发布生命周期内未获取 OVAL 文件,则有两种可能的机制来找到这些 OVAL 文件:
如果您能够利用 ESM,您可能能够检索它们。我尚未证实这一点,一条评论表明了这一点(尽管评论也说要将系统升级到受支持的版本,但这完全无关紧要)。
检查互联网档案(例如回溯机器和 Google Cache)。我成功率不高,只能找到 1 个 EOL,因为它的文件很小,而其他文件可能较大,并且在大多数缓存中被排除。
如果未来的读者找到更多使用 EOL Ubuntu 版本的语义命名来定位 OVAL 文件的方法,请给其他人留下评论。