Das Forschungsprojekt ZenSIM4.0 wurde im November 2024 erfolgreich von der DECOIT® abgeschlossen. Seit Anfang Februar liegt dem Projektträger der Abschlussbericht vor. Im Rahmen des Projektes konnte u.a. ein CSAF-Demonstrator entwickelt werden, der nun durch ein kurzes Video von der DECOIT® erläutert wird. Das Common Security Advisory Framework (CSAF) ist ein standardisiertes und quelloffenes Framework zur Kommunikation und automatisierbaren Verteilung von maschinenverarbeitbaren Schwachstellen- und Mitigationsinformationen, so genannten Security Advisorys (SA), und war ein zentraler Bestandteil des ZenSIM4.0-Projektes .

CSAF reduziert den manuellen Aufwand bei der Suche nach Sicherheitsinformationen und bei der Feststellung von Betroffenheit oder eben Nicht-Betroffenheit erheblich. Es erlaubt Herstellern, Anwendern, Betreibern und der Verwaltung die Informationen zu einzelnen Schwachstellen automatisiert abzurufen und eine Betroffenheit festzustellen. Auch Nicht-Betroffenheiten können so skalierbar kommuniziert werden (Vulnerability Exploitability eXchange (VEX) als Profil in CSAF). Im Zuge der einer immer stärker vernetzten und komplexeren Welt, wird die Anzahl an sicherheitsrelevanten Schwachstellen signifikant wachsen und zeitgemäßes Schwachstellenmanagement mittels CSAF-Dokumenten nicht mehr wegzudenken sein. Die DECOIT® hat daher innerhalb des Projektes an einem CSAF-Demonstrator gearbeitet, der auch vom Bundesamt für IT-Sicherheit (BSI) auf nationalen und internationalen Konferenzen präsentiert wurde, da das BSI daran Interesse hat, dass Security Advisorys (SA) aus verschiedenen Quellen hinsichtlich Datenformat, Strukturierung und Qualität der Information einheitlich vorliegen.

Zusammen mit nationalen und internationalen Partnern arbeitet das BSI deshalb an einer Lösung, Anwendern das Auffinden sowie die Bewertung und Umsetzung von Security Advisorys (SA) zu erleichtern. Das maschinenverarbeitbare Format für SAs, das Common Security Advisory Framework (CSAF), wird aus Sicht des BSI einen entscheidenden Beitrag dazu leisten, dass Unternehmen den Überblick behalten und ihre Anlagen absichern können. Die SAs können dabei automatisiert von den Herstellern abgerufen und mit der eigenen Inventardatenbank abgeglichen werden. Das erste Tool zum Erstellen von CSAF-Dokumenten (Secvisogram) hat das BSI bereits auf seiner GitHub-Seite veröffentlicht.