Red Hat wandte sich mit der Idee an NIST, die NVD zu verwenden, um einen Dienst für die Veröffentlichung offizieller Meldungen von Software-Anbietern zu schaffen. Die Veröffentlichungen sollen Bezeichnungen gemäß des Industriestandards Common Vulnerabilities and Exposures (CVE) verwenden, der die Einführung einer einheitlichen Namenskonvention bezweckt. Die Software-Branche erhält damit ein offenes, transparentes Forum, in dem Informationen über Sicherheitslücken bekannt gegeben werden können. Sowohl Anbieter von Open Source als auch von proprietärer Software haben jetzt die Gelegenheit, über Sicherheitslücken in ihren Produkten zu informieren und dazu Stellung zu nehmen. Dieser Service kann für verschiedene Zwecke verwendet werden, z.B. für Anleitungen zur Konfiguration und Fehlerbeseitigung, Klarstellungen zur Ausnutzbarkeit der Sicherheitslücken, tiefergehende Analysen der Schwachstellen, Widerlegung von Schwachstelleninformationen, die von Dritten herausgegeben wurden, sowie Erklärungen über die Auswirkungen der Sicherheitslücke.
Red Hat wird als erster Software-Anbieter zu diesem Service beitragen und der NVD Echtzeit-Updates darüber liefern, wie sich Schwachstellen auf Red Hat-Produkte auswirken oder nicht auswirken können. Diese Informationsquelle ist von entscheidender Bedeutung für die rechtzeitige Verbreitung von Sicherheitsinformationen unter den Red Hat-Kunden und wird ihnen erlauben, falls erforderlich, sofortige Maßnahmen zu ergreifen. Die Vorteile für Kunden werden vervielfacht, wenn der Service von der gesamten Software-Branche verwendet wird.
"Mit fortschrittlichen Entwicklungen wie SELinux und Execshield haben Red Hat und die Open Source-Gemeinschaft weitere hervorragende Sicherheitsfunktionen in die Plattform eingebaut. Sie bieten integralen Schutz gegen die Ausnutzung von Schwachstellen. Wir suchen zudem ständig nach Wegen, unsere Sicherheitsmaßnahmen zu verbessern und zu stärken. Die Verbesserung der Kommunikationswege und -mechanismen, wie unsere Kunden zu Informationen über Schwachstellen gelangen, ist eine weitere Möglichkeit, unseren Kunden zu helfen", erklärt Mark J. Cox, Security Response Director von Red Hat. "Durch unsere Arbeit mit der National Vulnerability Database von NIST können wir jetzt offizielle Meldungen über Schwachstellen und deren mögliche Auswirkungen über einen allgemein anerkannten Mechanismus verbreiten und zudem der gesamten Software-Branche ermöglichen, daran teilzunehmen."
"Wir begrüßen Red Hats Idee, einen Service für offizielle Meldungen von Software-Anbietern innerhalb der National Vulnerability Database zu schaffen", kommentiert Peter Mell, NVD Program Manager bei NIST. "Software-Anbieter verfügen über das größte Wissen über ihre Produkte und sind am besten in der Lage, zu Schwachstellen Stellung zu nehmen. Dank der Kreativität von Red Hat können wir diesen Service der gesamten Software-Entwicklungsgemeinschaft anbieten."
Die NVD ist eine allgemein anerkannte, umfassende Ressource, die alle öffentlich verfügbaren Informationen der US-amerikanischen Regierung über ITK-Sicherheitslücken enthält. Anwender von Open Source Software können sie genauso nutzen wie Benutzer proprietärer Software. Durch die Kommunikation zentralisierter Informationen über Schwachstellen, werden Kunden und Anwender vermehrt von Informationen profitieren, die sowohl von der US-amerikanischen Regierung als auch von den Software-Anbietern selbst stammen.
Stellungnahmen von Software-Anbietern innerhalb der NVD finden sich auf http://nvd.nist.gov. Die Meldungen der Software-Anbieter sind nach den entsprechenden Sicherheitslücken geordnet. Ein komplettes XML-Feed wird alle zwei Stunden aktualisiert und steht auf http://nvd.nist.gov/... zur Verfügung. Mehr über Red Hats Engagement, Initiativen, Lösungen und Ressourcen zur Steigerung der Sicherhit in Informationstechnologie und Telekommunikation finden sich auf http://www.redhat.com/....