Есть ли OVAL файлы для EOL релизов?
Ubuntu прекратила публикацию OVAL-файлов для EOL-релизов, или они где-то заархивированы, но все еще доступны?
Вот официальная информация Ubuntu о данных OVAL: https://ubuntu.com/security/oval
Все более важным становится включение определений OVAL для SCAP-сканеров, которые находят и устраняют уязвимости в EOL-дистрибутивах. Можно сказать, что OVAL наиболее полезен для выявления непропатченного программного обеспечения, особенно в системах EOL, которые больше не поддерживаются производителем.
Существует множество законных сценариев, таких как здравоохранение и критическая инфраструктура с ограниченными средствами, для которых ESM не нужен. Такие центры затрат, как I.T. и безопасность, не являются приоритетами, когда речь идет о здоровье людей или доступности коммунальных услуг. Вот почему OVAL должен существовать вечно, поскольку они становятся более ценными со временем и менее ценными, когда дистрибутив еще не вышел из эксплуатации.
Другие дистрибутивы делают именно это:
Все файлы OVAL публикуются Red Hat: https://www.redhat.com/security/data/oval/
SUSE также: https://www.suse.com/support/security/oval/
Ubuntu должен держать публикации OVAL доступными независимо от статуса EOL, учитывая вышеприведенное обоснование, что OVAL наиболее полезны только после статуса EOL.
Я также хотел бы получить некоторые из этих разъяснений от команды безопасности Ubuntu или члена сообщества, который знаком с использованием OVAL в Ubuntu.
Примечание: Файлы OVAL для текущих релизов не распространяются через apt или любой другой механизм, специфичный для конкретного релиза. Не путайте соглашение об именовании имени файла с тем, что оно каким-то образом ограничивает жизнь или доступность файлов, которые будут использоваться только операционной системой или apt. Файлы OVAL никак не используются операционной системой Ubuntu, и файл OVAL для Warty имел бы такое же значение, если бы использовался в релизе Hirsute, потому что затронутые пакеты программного обеспечения, которые описываются OVAL, фактически не связаны со смысловым именованием релиза Ubuntu или смысловым именованием имени файла OVAL.
1 ответ
Файлы OVAL имеют семантические имена и распределяются с использованием тот же механизм, что и кодовые имена выпуска Ubuntu. Таким образом, файл OVAL, которому семантически присвоено имя Hirsute, больше не будет существовать, когда Hirsute имеет значение EOL, поскольку он был доступен с использованием инфраструктуры публикации файлов Hirsute.
Хотя у OVAL нет причин быть тесно связанным со схемой семантического именования, и их основной вариант использования будет, когда выпуск EOL, очень жаль, что файлы удаляются, когда выпуск Ubuntu - EOL.
Если файлы OVAL не были получены в течение жизненного цикла выпуска, существует 2 возможных механизма для поиска этих файлов OVAL:
Если у вас есть возможность использовать ESM, вы можете получить их. Это не подтверждено мной, это указывалось в комментарии (хотя в комментариях также говорилось, что нужно обновить систему до поддерживаемой версии, что совершенно неактуально).
Проверьте интернет-архивы (например, Wayback Machine и Google Cache). У меня был ограниченный успех, и я смог найти 1 EOL, потому что это был небольшой размер файла, в то время как другие, вероятно, являются файлами большего размера и исключены в большинстве кешей.
Если будущие читатели найдут больше методов поиска файлов OVAL с семантическим именованием выпусков EOL Ubuntu, пожалуйста, оставьте комментарий для других.