由600 多个成员公司组成的OASIS (Organization for theAdvancement of Structured Information Standards，结构化信息标准推进组织)，最近发布了基于可扩展标记语言(XML)的安全互通新标准──AVDL (Application Vulnerability Description Language，应用易损性描述语言)。该标准将使信息安全设备相互通信的方式产生巨大变革，有望极大提高对基于Web 应用的保护能力。该标准的1.0 版和相关的XML 模式已得到OASIS AVDL 技术委员会的认可。

    诞生于忧患之际

    随着各种Web 技术被广泛采用，各种基于Web 的应用变得更富动态性，甚至每日每时都在发生变化，界定应用安全比界定网络安全更复杂。首先，由于许多应用层的易损性(Vulnerability)和安全补丁(Patches)频频发布，企业必须面对各种应用和设备厂商不断发布的新的安全补丁；其次，网络层安全产品对应用层各种易损性的预防能力极低，从而使应用层的安全问题越来越突出。过去，尽管企业将应用安全视为一个连续的生命周期，但并没有可使安全产品相互通信的标准，以致整个安全管理过程有所隐忧。

    为了走出安全产品缺乏互通性的困扰，企业用户希望有一种通过XML表述应用安全易损性的方式，这一需求促成了AVDL的诞生。AVDL定义一种共享有关环境变化和网络攻击信息的模式，即编制一种标准的XML描述语言，以应用安全的整个生命周期内各种安全工具能够使用和识别的方式，定义、分类和界定应用易损性。例如，评估工具能够为特定应用编制一种能被攻击预防工具读出的AVDL文件 ......