Navigation und Service

Common Security Advisory Framework (CSAF)

Das CSAFversum oder die Sprache der Sicherheitsinformationen – Exklusive Workshops und Community Days rund um das Thema Common Security Advisory Framework (CSAF)

Workshops: 09.-12. Dezember 2024; Community Days: 12.-13. Dezember 2024; Location: ISH - Information Security Hub, Südallee 1, 85356 München-Flughafen

--------The English version can be found here--------

Schwachstellen in Hard- und Software sind allgegenwärtig. Denn jedwede Soft- und Hardware ist ab einem gewissen Komplexitätsgrad fehlerbehaftet und derartige Fehler können potenziell zu sicherheitsrelevanten Schwachstellen führen, die entsprechend ausgenutzt werden. Solche sicherheitsrelevanten Schwachstellen sind wie offene Wunden. Sie müssen versorgt werden. Hierzu muss bekannt sein, wo sich die "Wunde" befindet, um welche Art "Wunde" es sich handelt und wie sie schnellstmöglich geheilt oder zumindest erstversorgt werden kann.

Das digitale Lösungsmittel für all diese Fragestellungen lautet CSAF (https://csaf.io): Das Common Security Advisory Framework (CSAF) ist ein standardisiertes und quelloffenes Framework zur Kommunikation und automatisierbaren Verteilung von maschinenverarbeitbaren Schwachstellen- und Mitigationsinformationen, so genannten Security Advisories (deutsch: Sicherheitsinformationen). CSAF reduziert den manuellen Aufwand bei der Suche nach Sicherheitsinformationen und bei der Feststellung von Betroffenheit oder eben Nicht-Betroffenheit erheblich. Es erlaubt Herstellern, Anwendern, Betreibern und der Verwaltung die Informationen zu einzelnen Schwachstellen automatisiert abzurufen und eine Betroffenheit festzustellen. Auch Nicht-Betroffenheiten können so skalierbar kommuniziert werden (Vulnerability Exploitability eXchange (VEX) als Profil in CSAF). Im Zuge einer immer stärker vernetzten und komplexeren Welt, wird die Anzahl an sicherheitsrelevanten Schwachstellen signifikant wachsen und zeitgemäßes Schwachstellenmanagement mittels CSAF-Dokumenten nicht mehr wegzudenken sein.

Das BSI und die CISA fördern und fordern CSAF und veranstalten gemeinsam, im Rahmen der ACS, vom 09.12.24 bis 12.12.24, insgesamt drei kostenfreie Workshops rund um das Thema CSAF (Common Security Advisory Framework). Alle Workshops werden aufgezeichnet und im Nachgang für Lehrzwecke aufbereitet und öffentlich zur Verfügung gestellt. Es werden hierbei keine personenbezogenen Daten von Teilnehmenden verarbeitet oder offengelegt.

Die Workshops finden in englischer Sprache und in Präsenz statt. Alle Workshops sind jeweils auf 80 Teilnehmende limitiert. Sichern Sie sich schnell Ihren Platz (first come, first served) und melden Sie sich bis zum 24.11.24 unter csaf@bsi.bund.de an.

Voraussetzungen zur Teilnahme am Workshop:

Die Workshops richten sich an die Zielgruppe: Hersteller, CERTs, Forschungsinstitutionen, Sicherheitsforschende

  • Freude Neues zu erlernen
  • Interesse an Security Advisories
  • Sehr gute Englischkenntnisse, da die Workshops in englischer Sprache veranstaltet werden
  • Zwingend notwendige Grundkenntnisse der Command Line-Befehle (für die Mehrheit der in den Workshops genutzten Tools)
  • Kenntnisse des CSAF-Standards (für den 2. Workshop)
  • Programmierkenntnisse in Python (für den 3. Workshop)

Welchen Workshop soll ich besuchen?

Sie wollen CSAF künftig in Ihrer Organisation nutzen und haben aber noch wenig bis keine Erfahrung mit dem Standard? Sie wollen wissen, was CSAF ist, wie man valide CSAF-Advisories erstellt und was der Standard Ihnen, Ihrer Organisation und Ihren Kunden bringt? Sie wollen CSAF-Advisories schreiben lernen? Dann ist die Teilnahme am 1. Workshop genau richtig für Sie. In verschiedenen Übungen wird das erlangte Wissen praktisch angewendet. Bringen Sie gerne Ihre Fragen mit und löchern Sie uns.

Sie nutzen CSAF bereits in Ihrer Organisation und haben Erfahrungen gesammelt? Oder haben Sie bereits Vorkenntnisse aus dem 1. Workshop? Sie kennen CSAF und sind bereits auf einen oder mehrere Spezialfälle gestoßen und wissen einfach nicht weiter? Dann ist der 2. Workshop genau das Richtige für Sie. Hier werden spezifische Fragen rund um den Standard und das Format beantwortet. Gerne nehmen wir Ihren Input und Ihr Feedback hinsichtlich Ihrer bisherigen Erfahrungen mit dem CSAF-Standard auf und beantworten diese im Workshop. Auch hier wird das erlangte Wissen in verschiedenen Übungen praktisch angewendet.

Sie wollen mehr über die Verteilung und den automatisierbaren Abruf von CSAF-Advisories wissen? Haben Sie vielleicht schon was von CSAF-Publishern, CSAF-Providern oder CSAF-Aggregatoren gehört? Sie wollen selbst CSAF-Dateien bereitstellen, aber wissen noch nicht wie? Dann melden Sie sich gerne für Workshop 3 an. Auch dieser Workshop beinhaltet praktische Übungen, um das erlernte Wissen zu festigen. Zudem wird im Workshop der Verteilmechanismus für CSAF-Dokumente, mit den unterschiedlichen Rollen von allen Teilnehmenden umgesetzt.

Sie dürfen sich gerne für mehrere Workshops anmelden.

Workshops

(jeweils über 2 Tage, insgesamt 8 h)
  1. Workshop: CSAF writing boot camp (for beginners)
    09.12.24 von 13:30-18:00 Uhr und 10.12.24 von 08:00-12:30 Uhr
    limitiert auf 80 TN

  2. Workshop: The CSAF Writers Guild - Advancing Your Experience
    10.12.24 von 13:30-18:00 Uhr und 11.12.24 von 08:00-12:30 Uhr
    limitiert auf 80 TN

  3. Workshop: CSAF distribution – from scratch to publication
    11.12.24 von 13:30-18:00 Uhr und 12.12.24 von 08:00-12:30 Uhr
    limitiert auf 80 TN


Die Community Days finden am 12.12. und 13.12.24 in englischer Sprache statt. Bei den Community Days ist eine virtuelle Teilnahme möglich – hier gibt es keine Beschränkung hinsichtlich der Teilnahme. Vor Ort sind die Plätze auf 100 Personen begrenzt. Eine Anmeldung ist bis zum 24.11.24 unter
csaf@bsi.bund.de möglich.

Weitere Details und das Programm finden Sie unter https://communitydays.csaf.io.

Community Days

  1. Session
    12.12.24 von 13:30-18:00 Uhr

    Zugangsdaten Livestream:

    https://cisco.webex.com/cisco/j.php?MTID=mbc3cc1ad28052619599b56878a0badf2

    Webinar number:

    2664 427 9142

    Webinar password:

    vH7uMmapd94 (84786627 when dialing from a phone or video system)

    Join by phone

    +1-408-525-6800 Call-in toll number (US/Canada)

    Access code: 266 442 79142



  2. Session
    13.12.24 von 08:00-15:00 Uhr

    Zugangsdaten Livestream:

    https://cisco.webex.com/cisco/j.php?MTID=m93ee333036be141bd6d33c0b247057ab

    Webinar number:

    2664 816 6883

    Webinar password:

    wwKrHACq337 (99574227 when dialing from a phone or video system)

    Join by phone

    +1-408-525-6800 Call-in toll number (US/Canada)

    Access code: 266 481 66883