SCAP 1.4: NIST veröffentlicht überarbeitete Sicherheitsprotokolle zur Stellungnahme

Das National Institute of Standards and Technology (NIST) hat zwei grundlegend überarbeitete Dokumente zum Security Content Automation Protocol vorgelegt und fordert Fachkreise zur Stellungnahme auf. Die Kommentierungsfrist für die Entwürfe läuft bis 11. Februar 2026, 23:59 Uhr Eastern Standard Time.

Erste öffentliche Entwürfe der SCAP-Revision 4

Mit der Veröffentlichung des ersten öffentlichen Entwurfs der Special Publication 800-126r4 sowie der dazugehörigen Anlage SP 800-126Ar4 setzt das NIST die Weiterentwicklung standardisierter Sicherheitsautomatisierung fort. Die koordinierten Revisionen basieren auf der Vorversion 1.3 des Protokolls und führen wesentliche Anpassungen durch.

Kernfunktionen des Security Content Automation Protocol

Das Security Content Automation Protocol bezeichnet ein Rahmenwerk interoperabler Spezifikationen zur standardisierten Repräsentation, Distribution und Verarbeitung sicherheitsrelevanter Informationen. Das Protokoll gewährleistet einheitliche Automatisierungsprozesse und produktübergreifende Berichterstattung durch maschinenlesbare Inhaltsformate mit definierten Verarbeitungsrichtlinien.

SCAP ermöglicht die systematische Erfassung von Sicherheitskonfigurationen und Schwachstelleninformationen über unterschiedliche Systeme und Umgebungen hinweg.

Wesentliche Änderungen in SP 800-126r4

Die technische Spezifikation fokussiert konsequent auf SCAP Version 1.4. Zentrale Neuerungen umfassen den Verzicht auf Abwärtskompatibilitätsvorgaben zu früheren Protokollversionen, überarbeitete Vorgaben für digitale Signaturen sowie die Eliminierung obsoleter Anforderungen.

Besondere Aufmerksamkeit erhält die Aktualisierung der Open Vulnerability and Assessment Language-Referenzen. Die Dokumentation verweist nun auf das OVAL Community GitHub als zentrale Ressource. Sämtliche Hyperlinks und Schemareferenzen wurden an die aktuellen SCAP 1.4-Standards angepasst.

SP 800-126r4 ipd

Anpassungen im Anhang SP 800-126Ar4

Der überarbeitete Anhang harmonisiert alle Inhalte mit SCAP Version 1.4. Informative Hinweise und Änderungsdokumentationen erfuhren eine umfassende Aktualisierung. Die Dokumentstruktur sowie normative Referenzen wurden an die aktuellen NIST-Vorlagen und redaktionellen Standards angepasst.

SP 800-126Ar4 ipd

Standardisierung für Software-Schwachstellen und Sicherheitskonfigurationen

SCAP etabliert einheitliche Formate und Nomenklaturen zur Kommunikation von Software-Fehlern und Sicherheitskonfigurationen. Die Standardisierung richtet sich an maschinelle Verarbeitung und menschliche Interpretation gleichermaßen.

Die aktuelle Publikation definiert gemeinsam mit dem Anhang und zugehörigen Schemata die technische Architektur von SCAP Version 1.4, einschließlich Komponentenspezifikationen, deren Wechselwirkungen und Interoperabilitätsanforderungen sowie Vorgaben für SCAP-konforme Inhalte.

Kommentierungsverfahren

Interessierte Fachkreise können bis zur genannten Deadline Stellungnahmen zu beiden Dokumenten einreichen. Das NIST nutzt das öffentliche Kommentierungsverfahren zur Qualitätssicherung und Praxistauglichkeit der Standards.

Auch interessant: