如何不作为独联体成员使用独联体基准

Question

我正试图用独联体安全基准对我的Linux系统进行审计。有些操作系统工具(如OpenSCAP或林尼斯 )可以执行与安全相关的基准测试，并附带了一些基准测试，这些基准可能接近于独联体基准，但并不相同。

有没有人经历过将可自由获取的基准转换成PDF格式，并将其转换成可以提供给OpenSCAP或Lynis并将结果公之于众的事情？

我搜索过，但找不到什么，但也许我忽略了一些东西。

Answer 1

我检查了事物的法律方面--这基本上解释了为什么我找不到有用的东西。简而言之:如果没有成员身份，就不能使用CIS基准测试，并将其称为CIS基准。

引用自由提供的其中一个PDF格式的“使用条款”：

使用条款本作品是许可的知识共享属性-非商业-ShareAlike 4.0国际公共许可证。到许可条款的链接可以在https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode上找到，以进一步澄清与CIS基准内容相关的Creative，您有权复制和重新分发这些内容，供您、您的组织内和组织以外的非商业性目的使用，条件是(i)向CIS提供适当的信用，(ii)提供到许可证的链接。此外，如果你在独联体基准(S)的基础上进行混合、转换或建立，你只能在修改后的材料与原始基准许可证的许可条款相同的情况下才能分发，而你的衍生产品将不再是独联体基准。独联体基准的商业使用须经因特网安全中心事先批准。

重点雷

简而言之:如果我把PDF转换成某种脚本，我就不能再把它称为“CIS基准”了。此外，也没有商业用途。

因此，如果你真的需要你的资产成为独联体的基准，就没有办法绕过你的会员资格。按成本计并不像我想象的那么糟糕，但对于非常小的组织来说可能很困难。

站得住脚发布了一种机器可读的形式，但是它也有一个限制性的许可，因此，没有办法不支付。

如果一个人感兴趣的“公正”安全，当然有各种好的选择(见问题)，其中许多似乎是独联体的启发(或反过来)。但在我们的例子中，我们的客户询问了CIS的情况，所以我们需要获得会员资格。