Хороший вопрос. Действительно, есть различные утилиты для проверки уязвимостей для различных платформ. Vulnerability Management решение в общем случае позволяет отслеживать уязвимости единообразным способом для многих платформ, при этом обращение к репозиториям в момент проверки не требуется. Такое решение предоставляет подробную информацию о том, что за уязвимость была найдена, как её можно проэксплуатировать и запатчить и т.д. При работе с утилитами есть свои тонкости, например 'yum list-security' работает в RHEL, но не работает в CentOS. Если в компании зоопарк решений небольшой и не критично ставить все обновления без обязательного тестирования, безусловно можно обойтись и без сканера уязвимостей.
У трех топовых Vulnerability Management вендоров есть облачные решения: Qualys Cloud Platform, Nessus Cloud, Rapid7 Nexpose Now. Причем у Qualys, лидера по объему рынка по версии Gartner-а, облачное решение является основным. У них есть и private cloud это экзотика для очень больших компаний. Это вопрос доверия VM-вендору. Если какая-то компания захочет иметь свой локальный Vulners, чтобы он хостился внутри компании и синхронизировал security content периодически, то думаю вполне реально договориться.
Как альтернативный вариант — можно подмешивать к запросам какие-то несуществующие пакеты, потом исключать их уязимости из результатов. Можно сделать проксирующий сервер, и все запросы пропускать только через него.
Хотелось бы обратить внимание, что 16 апреля DARPA устраивает Robotics Challenge Virtual Proposer Day, на котором будет заявлено множество интересных инициатив в области робототехники.
В частности, подробнее расскажут о соревнованиях DARPA Robotics Challenge. Роботы PETMAN (Tracks B и C) вероятнее всего станут основной стандартной платформы (Government Furnished Equipment), под которую участники соревнований смогут разрабатывать свой софт. Так же будет доступен стимулятор с различными моделями роботов. Приз 2 млн$.
Описание конкурса: www.fbo.gov/index?s=opportunity&mode=form&id=ee8e770bcfe1fe217472342c67d6bd5a&tab=core&_cview=0 Пресс-релиз: www.darpa.mil/NewsEvents/Releases/2012/04/10.aspx
Позволю себе с вами не согласиться. Стоит определиться какие инженеры имеются в виду. Во-первых, стандарт имеет большое значение для инженеров занимающихся разработкой систем compliance management'а. Без поддержки XCCDF разрабатываемое решение не сможет получить статус SCAP-validated продукта, а без этого выход на многие рынки США будет закрыт. Во-вторых, стандарт будет полезен вендорам, которые хотели бы описать рекомендации по безопасной настройке своего программного обеспечения в соответствии с требованиями каких-либо высокоуровневых стандартов (например PCI DSS). Учитывая поддержку XCCDF всеми SCAP-validated продуктами (а их много nvd.nist.gov/scapproducts.cfm), его применение выглядит оправданным. В-третьих, стандарт будет полезен инженерам эксплуатирующим системы compliance management'а для более глубокого понимания каким образом они функционируют, каким образом строятся отчеты. В целом, это нишевая вещь, но доля заинтересованных специалистов, все же превышает одну сотую процента.
Как альтернативный вариант — можно подмешивать к запросам какие-то несуществующие пакеты, потом исключать их уязимости из результатов. Можно сделать проксирующий сервер, и все запросы пропускать только через него.
В частности, подробнее расскажут о соревнованиях DARPA Robotics Challenge. Роботы PETMAN (Tracks B и C) вероятнее всего станут основной стандартной платформы (Government Furnished Equipment), под которую участники соревнований смогут разрабатывать свой софт. Так же будет доступен стимулятор с различными моделями роботов. Приз 2 млн$.
Описание конкурса: www.fbo.gov/index?s=opportunity&mode=form&id=ee8e770bcfe1fe217472342c67d6bd5a&tab=core&_cview=0 Пресс-релиз: www.darpa.mil/NewsEvents/Releases/2012/04/10.aspx