OASIS規格解説
AVDL (Application Vulnerability Description Language)
(株)日本ユニテック
青木 秀起
AVDLとは、アプリケーションの脆弱性をXMLで記述するための標準フォーマットで、2004年5月にOASIS標準として承認されました。(http://www.oasis-open.org/committees/download.php/7145/AVDL%20Specification%20V1.pdf)
AVDLの構造
AVDL仕様は、「通過 (Traversal)」と「脆弱性調査 (Vulnerability Probe)」の2つの部分で構成されています。「通過 (Traversal)」には、Webアプリケーションをマッピングし、サーバ間でやり取りされる要求/応答メッセージを記述します。「脆弱性調査 (Vulnerability Probe)」には、脆弱性についての情報に加え、脆弱性を発見する方法やいつどのように修正できるかを記述します。
リスト1 AVDLの構造
|
<?xml version="1.0" encoding="UTF-8"
?>
<avdl >
<session >
<traversal-step>
<http-traversal>
<request >
<raw>・・・</raw>
<parsed>・・・</parsed>
</request>
<response>
<raw>・・・</raw>
<parsed>・・・</parsed>
</response>
</http-traversal>
</traversal-step>
</session>
<session>
<vulnerability-probe>
<test-probe>
<http-probe>
<request>
<raw>・・・</raw>
<parsed>・・・</parsed>
</request>
<response>
<raw>・・・</raw>
<parsed>・・・</parsed>
</response>
</http-probe>
</test-probe>
<vulnerability-description>・・・
</vulnerability-description>
</vulnerability-probe>
</session>
</avdl>
(Copyright © OASIS Open 2004. All Rights Reserved.)
|
ルート要素はAVDL要素で、この要素の中にAVDL仕様のバージョンやプロバイダ・ベンダ名、OASISのURIなどを記述します。avdl要素は、ユーザが実行する処理ごとに複数のsession要素を持ち、各session要素は1つ以上のコンテナ(traversalまたはVulnerability関連)を持ちます。各traversalには、要求/応答が含まれ、raw要素とparsed要素に分けられます。
AVDLのメリット
AVDLにより、アプリケーションのライフサイクル全体におけるシームレスな脆弱性情報の交換が可能になります。たとえば、アプリケーション開発者は、評価ツールを使って悪意ある攻撃に対する脆弱性を検証し、評価ツールは検出した脆弱性をAVDLフォーマットでXMLファイルに分類・記録します。アプリケーション・セキュリティ・ゲートウェイは、このAVDL情報を使って、最善の攻撃防御ポリシーを勧めます。加えて、修復製品は同じAVDLファイルを使って、セキュリティ上の問題点を修正するための最善の処置を提案します。報告ツールも、AVDLファイルを使ってイベントログを既知の脆弱性に関連付けます。
Cenzic社、itadel Security Software社、Department of Energy Computer Incident Advisory Capability(CIAC)社など、多くのベンダがサポートを表明しています。
関連サービス
標準化仕様の動向調査
最新動向を伝えるDXメールニュース
(無料)
| 
スタンダーズコーナー:W3C規格解説 「CSS」
