安全内容自动化协议

安全内容自动化协议（英語：Security Content Automation Protocol，SCAP）是用于自动化漏洞管理、评估和条款符合检测的一套标准（例如，2002年的美国联邦信息安全管理法案（英语：Federal Information Security Management Act of 2002））。美国国家漏洞数据库（英语：National Vulnerability Database）（NVD）就是美国政府为安全内容自动化协议制定的知识库。

安全内容自动化协议（SCAP，读作“ess-cap”^[1]），结合了一系列用于评估软件缺陷和安全相关问题的开放标准，用于系统测试来发现漏洞，并根据漏洞可能造成的影响提供评分标准。是意图将上述开放标准用于自动化漏洞管理、评估和条款符合检测的一套标准。SCAP定义了如下标准（SCAP协议组成）之间如何协调：

• 通用漏洞披露（Common Vulnerabilities and Exposures，CVE）
• 通用配置枚舉（Common Configuration Enumeration，CCE）
• 通用平台枚舉（英语：Common Platform Enumeration）（Common Platform Enumeration，CPE）
• 通用漏洞评分系统（英语：Common Vulnerability Scoring System）（Common Vulnerability Scoring System，CVSS）
• 可擴展配置清單描述格式（英语：Extensible Configuration Checklist Description Format）（Extensible Configuration Checklist Description Format，XCCDF）
• 开放漏洞评估语言（英语：Open Vulnerability and Assessment Language）（Open Vulnerability and Assessment Language，OVAL）

从SCAP 1.1版开始

• 開放清單互動語言（Open Checklist Interactive Language，OCIL）2.0版

从SCAP 1.2版开始

• 资产鉴定
• 资产报告格式（Asset Reporting Forma，ARF）
• 通用配置评分系统（Common Configuration Scoring System，CCSS）
• 安全自动化数据信任模型（Trust Model for Security Automation Data，TMSAD）

从SCAP 1.3版开始

• 軟體識別碼（Software Identification，SWID）

安全内容自动化协议檢核表建立電腦安全組態以及NIST SP 800-53（英语：NIST Special Publication 800-53）控制框架之間的聯結，並且進行標準化。SCAP會用在NIST風險管理框架的實現、評估及監控步驟中。在NIST的联邦信息安全管理法案（英语：Federal Information Security Management Act of 2002）（FISMA）實施計劃中，SCAP是其中的一部份。

SCAP確認方案（SCAP Validation Program）是確認實施SCAP標準產品的能力。NIST的國家實驗室自願認可計劃（英语：National Voluntary Laboratory Accreditation Program）（NVLAP）有核可在此計劃下的獨立實驗室來進行SCAP確認。

• Security Content Automation Protocol web site （页面存档备份，存于互联网档案馆）
• National Vulnerability Database web site （页面存档备份，存于互联网档案馆）
• Mitre "Making Security Measurable" web site （页面存档备份，存于互联网档案馆）
• SCAP Search （页面存档备份，存于互联网档案馆）
• FISMA （页面存档备份，存于互联网档案馆）
• NVLAP accredited SCAP validation laboratory （页面存档备份，存于互联网档案馆）
• SCAP validated products web page （页面存档备份，存于互联网档案馆）