XML関連の標準化団体Organization for the Advancement of Structured Information Standards(OASIS)のメンバーは,Webアプリケーション・セキュリティの脆弱性を記述するオープンなデータ形式を策定する技術委員会「OASIS Web Application Security(WAS)Technical Committee(TC)」を発足させた。OASISが米国時間5月28日に明らかにしたもの。
同TCでは,セキュリティ問題の分類構造,危険度を評価するとともに,その影響を説明するモデルを開発する。また,セキュリティ情報を含むドキュメントを作成するための構造も開発する。
「現在,セキュリティの勧告は,不明瞭なテキスト形式または独自のデータ・ファイルによって提供される。同じ脆弱性は,異なる言語と文脈によって説明され,いくつかの異なる方法でランク付けされている。WASにより,脆弱性の情報が一貫した方法で送受信できるようになる。採用しているツール,技術に関わらず,法の執行機関,政府,企業,団体のすべてがリスクを理解できるようになる」(同TC会長のMark Curphey氏)
同TCは,Web サービスの安全性を高める新しいコンピュータ言語「Application Vulnerability Description Language(AVDL)」を策定する別のOASIS技術委員会と協調する。AVDLは,セキュリティ製品の通信方法の標準形式を策定する。両技術の統合により,複数のベンダー製品の脆弱性に関して説明するための標準の提供を狙う。
さらに,WASメンバーは,グループ外部から提出される同様な技術に関しても検討する。Webアプリケーションのセキュリティ対策を研究しているオープンソース・コミュニティによるプロジェクトOWASP(Open Web Application Security Project)は,OASISにVulnerability Description Language (VulnXML)の提出を予定している。
WSBPEL WASの主なメンバー企業は,NetContinuum社,Qualys社,Sanctum社,米SPI Dynamics社など。
◎関連記事
■ OASISが「UDDI v2」をOASIS標準として承認
■ OASIS,Webサービス向けビジネス・プロセス仕様「BPEL4WS」に向け技術委員会を設置
■米マイクロソフト,米IBM,米BEAがWebサービス協調に向けた新仕様を発表
[発表資料へ]
