Ubuntu перестал публиковать файлы OVAL для выпусков EOL, или они где-то заархивированы, но все еще доступны?
Вот официальная информация Ubuntu о данных OVAL: https://ubuntu.com/security/овал
Все более важно включать определения OVAL для сканеров SCAP, которые находят и устраняют уязвимости в дистрибутивах EOL. Можно сказать, что OVAL наиболее полезен для выявления неисправленного программного обеспечения, особенно в системах EOL, которые больше не поддерживаются поставщиком.
Есть много законных сценариев, таких как здравоохранение и критическая инфраструктура с ограниченными средствами, чтобы сэкономить на ESM. Центры затрат, такие как I.T. и безопасность не являются приоритетами, когда речь идет о здоровье людей или доступности коммунальных услуг. Вот почему OVAL должен существовать вечно, поскольку со временем они становятся более ценными и менее ценными, когда дистрибутив еще не EOL.
Другие дистрибутивы делают именно это:
Ubuntu должен поддерживать доступность публикаций OVAL независимо от статуса EOL, учитывая приведенное выше обоснование того, что OVAL наиболее полезны только после того, как статус EOL установлен.
Я также хотел бы получить пояснения по этому поводу от команды безопасности Ubuntu или от члена сообщества, знакомого с использованием OVAL из Ubuntu.
Запись: файлы OVAL для текущих выпусков не распространяются подходящий или любой другой механизм, специфичный для выпуска. Не путайте соглашение об именовании имени файла с тем, что оно каким-то образом неотъемлемо ограничено сроком службы или доступностью файлов, которые будут использоваться только операционной системой или подходящий. Файлы OVAL никоим образом не используются операционной системой Ubuntu, и файл OVAL для Warty будет иметь такое же значение, если будет использоваться в выпуске Hirsute, потому что уязвимые программные пакеты, описанные OVAL, на самом деле не связаны с семантическим именованием. выпуска Ubuntu или семантическое наименование имени файла OVAL.
