XCCDF (Extensible Configuration Checklist Description Format) é uma linguagem de especificação para escrever listas de verificação de segurança, benchmarks e tipos de documentos relacionados. XCCDF é suportado pela Direcção de Garantia de Informação da Agência Nacional de Segurança dos EUA, pelo Center for Internet Security e pelo MITRE.
A especificação foi concebida para suportar o intercâmbio de informação, geração de documentos, adaptação organizacional e situacional, testes de conformidade automatizados e pontuação de conformidade. Ele também define um modelo de dados e um formato para armazenar resultados de testes de conformidade de benchmark. Os documentos XCCDF são expressos em XML e podem ser validados com um parser de validação XML.
De acordo com Chris Calabrese do Center for Internet Security:
Todos os administradores de sistemas têm políticas e padrões locais que seus sistemas devem cumprir, e há muitas ferramentas de segurança-auditoria para verificar a conformidade. No entanto, muitas dessas ferramentas não permitem uma personalização fácil para a política local, ou para deixar cair em novas definições de políticas de terceiros. O XCCDF é um formato baseado em XML que aborda esses problemas fornecendo uma maneira unificada de descrever:
- Políticas/benchmarks/padrões de configuração do sistema como aqueles do Center for Internet Security ou dos NSA's Security Configuration Guides.
- Como o software pode avaliar sistemas para conformidade com políticas usando a linguagem Open Vulnerability Assessment Language da Mitre ou esquemas similares.
- Como as pessoas e/ou software podem corrigir sistemas que não estão em conformidade.
- Como um determinado sistema está em conformidade com uma política para fins de relatórios.
>
>b>>Aprenda mais:
NIST fornece as últimas especificações XCCDF e recursos relacionados.
Benchmark Editor é uma ferramenta baseada em Java para documentos de referência XCCDF.