Security Content Automation Protocol

Le Security Content Automation Protocol (SCAP) est un protocole regroupant un ensemble de standard dans le but d'uniformiser et de facilité l'automatisation de la gestion des vulnérabilités, la mesure et l’évaluation de politique de conformité d'un système déployer dans une organisation. SCAP est publier par le National Institute of Standards and Technology (NIST). Un exemple d’implémentation du protocole SCAP est [OpenSCAP].

Pour ce protéger des menaces de cybersécurité, les organisations on un besoin constant de surveiller les systèmes et application qu'elles déploient. SCAP regroupe un ensemble de standard ouvert largement utilisée dans les cycles logiciels et les problème de configuration relatant la sécurité des systèmes d'information. Le protocole SCAP définie comment ces différents standards (aussi appeler SCAP composent) sont combiner.

Langages

• Extensible Configuration Checklist Description Format (XCCDF)
• Open Vulnerability and Assessment Language (en) (OVAL)
• Open Checklist Interactive Language (OCIL)
• Asset Identification (AID)
• Asset Reporting Format (ARF)

Schéma d’Identification

• Common Configuration Enumeration (CCE)
• Common Platform Enumeration (CPE)
• Common Vulnerabilities and Exposures (CVE)
• Software Identification (SWID) Tags

Metrics

• Common Vulnerability Scoring System (CVSS)
• Common Configuration Scoring System (CCSS)

Intégrité

• Trust Model for Security Automation Data (TMSAD)

SCAP 1.0 a été publier en Novembre 2009, elle comprend les standards XCCDF, OVAL, CCE, CPE, CVE et CVSS.

SCAP 1.1 a été publier en Février 2011, elle vient ajouter le standard OCIL

SCAP 1.2 a été publier en Septembre 2011, elle vient ajouter les standards AI, ARF, CCSS et TMSAD

SCAP 1.3 a été publier en Février 2018, elle vient ajouter le standard SWID

SCAP v2 La version 2 du protocole SCAP est actuellement en cours de réflexion. Il permettra de surveiller et de signaler l’état de l'installation et de la configuration du logiciel au fur et a mesure que cette état de modifie. Le reporting événementiel sera utilise pour prendre en charge l'inventaire logiciel et la gestion des vulnérabilités. SCAP sera également étendu pour inclure des protocoles de transport permettant la communication sécurisé et interopérable des information d'automatisation de la sécurité. SCAP v2 adoptera des standards internationales pour résoudre les problèmes et les lacunes de SCAP v1.

• (en) https://csrc.nist.gov/projects/Security-Content-Automation-Protocol
• (en) https://csrc.nist.gov/Projects/Security-Content-Automation-Protocol-v2