Ubuntu a încetat să mai publice fișiere OVAL pentru versiunile EOL sau sunt arhivate undeva, dar încă accesibile?
Iată informațiile oficiale Ubuntu despre datele OVAL: https://ubuntu.com/security/oval
Este din ce în ce mai important să se includă definiții OVAL pentru scanerele SCAP care găsesc și remediază vulnerabilitățile din distribuțiile EOL. S-ar putea spune că OVAL este cel mai util pentru identificarea software-ului nepatchat, în special pe sistemele EOL care nu mai au suport de furnizor.
Există multe scenarii legitime, cum ar fi asistența medicală și infrastructura critică cu fonduri limitate, pentru a economisi pe ESM. Centrele de cost precum I.T. și securitatea nu sunt priorități atunci când sunt în cauză sănătatea oamenilor sau disponibilitatea utilităților. Acesta este motivul pentru care OVAL ar trebui să existe în perpetuitate, deoarece acestea devin mai valoroase în timp și mai puțin valoroase atunci când distribuția nu este încă EOL.
Alte distribuții fac exact asta:
Ubuntu ar trebui să păstreze publicațiile OVAL disponibile, indiferent de starea EOL, având în vedere rațiunea de mai sus că OVAL sunt cele mai utile numai după ce statutul EOL este în vigoare.
De asemenea, mi-ar plăcea să clarific o parte din acest lucru de către echipa de securitate Ubuntu sau un membru al comunității care este familiarizat cu utilizarea OVAL din Ubuntu.
Notă: Fișierele OVAL pentru versiunile curente nu sunt distribuite de apt sau orice alt mecanism specific de eliberare. Nu confundați convenția de denumire a unui nume de fișier ca fiind într-un fel limitată în mod inerent la viața sau disponibilitatea fișierelor care ar fi utilizate numai de sistemul de operare sau apt. Fișierele OVAL nu sunt utilizate de sistemul de operare Ubuntu în niciun fel, iar un fișier OVAL pentru Warty ar avea aceeași valoare dacă este utilizat în versiunea Hirsute, deoarece pachetele software afectate descrise de OVAL nu sunt de fapt legate de denumirea semantică. a unei versiuni Ubuntu sau denumirea semantică a numelui fișierului OVAL.
