CSAF - Common Security Advisory Framework
maschinenlesbares Format für Sicherheits-Advisories
Was bedeutet CSAF?
CSAF (Common Security Advisory Framework) ist ein offener OASIS-Standard, der vorgibt, wie Hersteller Sicherheits-Advisories als strukturierte JSON-Dokumente veröffentlichen. Statt PDFs oder HTML-Seiten - die ein Mensch lesen muss, bevor jemand handeln kann - liefert CSAF Schwachstellen-Informationen in maschinenlesbarer Form: Welche Produkte sind betroffen, in welchen Versionen, mit welchem CVSS, welche Workarounds und Patches existieren. Die aktuelle Version ist CSAF 2.0.
Wofür CSAF entwickelt wurde
In großen Organisationen erscheinen monatlich hunderte neue Advisories. Eine manuelle Auswertung ist nicht skalierbar. CSAF erlaubt es, Advisories automatisch gegen die eigene SBOM abzugleichen und nur dort Alarm zu schlagen, wo wirklich betroffene Systeme im Einsatz sind.
CSAF und VEX
Innerhalb von CSAF gibt es das Profil VEX (Vulnerability Exploitability eXchange). Damit kann ein Hersteller ausdrücklich erklären: „Mein Produkt enthält zwar die Library X mit CVE-XYZ, ist aber nicht ausnutzbar.“ Das reduziert False Positives in Schwachstellenscannern erheblich.
CSAF im CRA und in BSI TR-03183
Die BSI TR-03183-3 schreibt CSAF 2.0 als verbindliches Format für Sicherheits-Advisories deutscher Hersteller fest. Auch der CRA verlangt, Schwachstellen-Informationen in einem maschinenlesbaren Format bereitzustellen - CSAF ist hier der etablierte Standard.