信息安全经常成为猫捉老鼠的游戏：老鼠由那些被发现的漏洞扮演，而猫则是试图评估这些漏洞威胁的安全厂商们。

　　每个被发现并揭露出的漏洞都被那些漏洞扫描软件公司反复研究。用三到四种工具来扫描你的系统漏洞，通常会得出不同的结论。如果你更换一个供应商，那么评估工具就需要重新定制。所以，一个开放的标准是非常必需的。由国土安全部发起的MITRE组织，创建了开放漏洞评估语言（OVAL）来满足这个需求。

　　开放漏洞评估语言做些什么？

　　也许我们来谈谈OVAL不是什么会比较容易一些，这样可以排除那些误解。OVAL不是一个能解决所有系统漏洞和风险管理问题的工具。OVAL不完全是一个扫描工具或者修补工具。它是一个标准语言。你将需要一个评估工具来解释OVAL内容，从而达到评估的目的。

　　通过共同检查，供应商的直接支持和联合开发得到的漏洞定义库是可靠和可验证的。OVAL利用强大的XML来创建标准语言用于定义、评估和报告漏洞和配置。创建一个标准语言促使IT行业在技术配置信息上相互共享和合作。例如，如果VMware或者Pidgin发现了一个漏洞（在写这篇文章的时候，这个例子的确真实发生了），日常维护可以以OVAL定义库的形式快速发布漏洞扫描报告，这样，安全组织就能立即利用评估工具确定哪些系统会有类似的漏洞以及会有什么样的风险。如果有和这个报告相关的任何漏洞，错误定义或者问题，安全组织可以迅速共享修补方式，然后通过公共的知识库发布出去。

　　开放标准的强大之处

　　那些评估将会从开放标准和合作中得到好处，因为当一个行业行为被标准化和开放化的时候，我们都将从中受益。厂商们正在迅速采用开放标准并且将它们整合到一起。这一点上来说，从来没有比OVAL更显而易见的。从2009年11月起，有超过20个工具被批准用于OVAL报告（要查看最新的清单，可以访问链接the Oval Compatibility list）。做为一个安全专家，你将从众多厂商支持中受益。不管你选择哪种工具定义或者定制化来适应你的环境，你都将直接或间接使用到它。

　　好吧，那么从哪里可以得到这个东西呢？大多数商业工具都会内置一套漏洞检查程序，你可以通过提交订阅来获得常规的更新包。如果你要找定制化的内容或者针对特别安全指南和检测的特定内容，有一个OVAL知识库可以帮助你。安全组织和厂商的知识库有上千个由安全公司或者产品开发者开发的漏洞定义库，并且它们都是可以免费使用的。以下是一些现在可供使用的：

　　随着新的知识库被创建和验证，MITRE将它们列在它们的‘其它知识库’页面上。如果你使用美国联邦政府的知识库来评估系统，你将会对NIST SCAP特别感兴趣。它采用开发来评估现在的政府系统，再结合厂商指南来维护这个知识库，比如联邦桌面核心配置（FDCC）、DISA安全技术实施指南（STIG）和微软安全向导。许多厂商和系统维护商正在开始为特定的系统开发它们自己的知识库。例如，RED HAT已经开发了OVAL知识库来是它们的安全向导自动化，Tresys科技也为自己开发了用于验证STIG之于它们的开源CLIP的知识库。

　　在本文的下半部分中，我们将简单介绍OVAL语言，并使用OVAL进行一次漏洞评估。