在本文的上半部分中，我们介绍了开放漏洞评估语言（OVAL）的概念。本文将继续介绍OVAL，并使用它进行一次漏洞评估。

　　OVAL语言概述

　　我们不能提供一个OVAL的深入分析，或者通过这篇文章就让你成为一个开发OVAL的专家，我们只是提供一个简短的概述。更多的信息可以在本文末尾的参考信息中查询到。一个OVAL文档通过测试定义配置信息，包括对象和相关的状态。举一个例子，让我们来看看RED HAT系统的定义（PDF文件），它证实了SElinux是用来加快启动时间的。在这个例子中，定义了一个简单测试的定义库。这个测试（OVAL:TRESYS:TST:1000）简单的查询了一个对象（在这个例子中是一个文件/etc/selinux/config中的一行）并且检查了它的状态（SELINUX=enforcing）。如果你无法理解例子中的每一行，你也不用担心，这意味着这个是给机器读的，而不是人。

　　如果你在考虑为你的环境写一些定制化的检测，我会建议你查看以上列出来的知识库。说不定你需要的已经有人写好了。MITRE很适合初学者开始使用，有一个FIREFOX的插件Firefox add-on可以安装用来搜索MITRE知识库。如果你对学习如果写OVAL库感兴趣，你可以去OVAL language site上找到更多的信息。MITRE也提供了一个关于创建检测标准的一天免费课程free 1-day course，它可以让你学会使用免费工具和其它可用的标准来创建为自己的系统做检测的库。

　　使用OVAL来进行一次漏洞评估

　　要进行一次OVAL的漏洞评估，你需要一个解释程序。如果你没有其它OVAL工具来提供解释，MITRE倒是提供了一个开源的解释程序，它可以工作在WINDOWS、UNIX和LINUX下，它的名字叫OVALDI。对于企业级的评估，我建议采用商业评估工具，但是如果只是用来学习或者测试OVAL，那么OVALDI工具就足够了。因为它是开源的，OVALDI用在CLIP系统上来解释TRESYS科技公司开发的STIG检测。通过在CLIP系统上运行以下的命令来进行评估：

#ovaldi -a /usr/share/ovaldi/ -x Clip-Results.html -o
   /usr/share/clip/verification/clip-ovaldi.xml –m

　　这个命令基本上是通过OVAL翻译器来运行CLIP评估库（clip-ovaldi.xml）并且输入一个页面，显示出评估结果（Clip-Results.html)。默认的OVALDI报告包含每个测试项目和它们是通过了还是失败了。报告的格式是高度定制化的，尽管这已经超出了本文的讨论主旨。

图1：OVAL评估过程

　　标准化和开放合作是厂商和客户，包括整个行业整体都大大受益。OVAL提供该准备给信息安全组织。安全厂商从这个易用和易客户化的评估库中受益，对于广大支持厂商来说也是同样的情况。不管是你评估最新漏洞的影响还是检查政策遵从，现有的庞大的OVAL开发者和用户都将给你提供一些可用的帮助。