O Open Vulnerability and Assessment Language (OVAL) é um padrão internacional aberto de segurança da informação que normaliza a transferência de informações entre as diversas soluções e os serviços de segurança. Essa linguagem padroniza as três principais etapas do processo de avaliação: a representação de informações nas configurações dos sistemas a serem testados; a análise do sistema em relação ao estado desejado da máquina (vulnerabilidade, configuração, estado de patches, dentre outros); e a representação dos resultados dessa análise.
A comunidade OVAL desenvolveu três esquemas, escritos em Extensible Markup Language (XML), para servir de framework e vocabulário para a linguagem OVAL. Esses esquemas estão diretamente associados às etapas do processo de avaliação. São eles: Definitions, System Characteristics e Results.
O esquema de OVAL Definitions é usado para definir o framework XML para a escrita de: a) definições de vulnerabilidade, que definem as condições que deverão existir em uma máquina para que determinada vulnerabilidade esteja presente; b) definições de patch, que definem as condições em uma máquina a fim de determinar se um patch em particular é apropriado para um sistema; c) definições de conformidade, que definem as condições necessárias de uma máquina que determinam se ela está em conformidade com certa política de configuração.
O esquema OVAL System Characteristics define um formato padrão de XML para a representação das informações de configuração do sistema. Essas informações incluem parâmetros do sistema operacional e de aplicações instaladas, assim como outros valores relevantes de configuração. O propósito desse esquema é fornecer uma base de dados das características do sistema, que será comparada com as OVAL Definitions, a fim de analisar o sistema em busca de vulnerabilidades, problemas de configuração e patches.
O esquema OVAL Results define um formato padrão de XML para armazenamento dos resultados da avaliação de um sistema. Os dados dos resultados contêm o estado corrente de configuração de um sistema comparado a um conjunto de OVAL Definitions. O esquema permite que aplicações leiam esses dados, interpretem-nos e tomem as ações necessárias para mitigar as vulnerabilidades e problemas de configurações.
Para obter mais detalhes sobre o padrão OVAL, visite http://oval.mitre.org/.