BSI TR-03191 - Common Security Advisory Framework (CSAF)

Die Technische Richtlinie TR-03191 „Common Security Advisory Framework (CSAF)“ beschreibt formale und fachliche Vorgaben für Sicherheitsinformationen, sogenannte Security Advisories. Diese werden meist in unterschiedlichen Formaten und auf unterschiedlichen Wegen kommuniziert, was in einem großen, manuellen Aufwand resultiert. Die TR-03191 hat zum Ziel, das Schwachstellenmanagement deutlich zu erleichtern, indem sie den manuellen Aufwand reduziert und einige Prozesse durch Vorgaben leicht automatisierbar macht: Sowohl das maschinenverarbeitbare Format, als auch automatisierbarer Abruf und Verteilung von Sicherheitsinformationen, werden in dieser TR gemäß des internationalen und offenen Standards CSAF 2.0 beschrieben.

Da jedes IT-Produkt von Schwachstellen betroffen sein kann, richtet sich diese Technische Richtlinie an alle Organisationen zur Anwendung auf ihre eigenen IT-Produkte, aber auch die IT-Produkte, die sie selbst einsetzen, da die Nutzung von CSAF einen maschinellen Abgleich von Sicherheitsinformationen mit Verzeichnissen von IT-Assets erlaubt und somit eine einfache, automatisierte Feststellung der Betroffenheit oder Nicht-Betroffenheit durch eine Schwachstelle ermöglicht.