XCCDF与OVAL
　　XCCDF 是由NSA（Nat ional Secur ityAgency：美国国家安全局）与NIST共同开发，是一种用来定义安全检查单、安全基线、以及其他类似文档的一种描述语言。XCCDF使用标准的XML语言格式按照一定的格式（Schema）对其内容进行描述。在SCAP中，XCCDF完成两件工作：一是描述自动化的配置检查单（Checkilist），二是描述安全配置指南和安全扫描报告。一个XCCDF 文档包含一个或多个Profile，每个Profile可以理解为一个检查单。
　　使用XCCDF无疑有许多好处，通过标准化能够让工具间的数据交换变得更加容易，能够很方便地根据目标系统的不同情况对检查项进行裁剪，而且无论是检查单还是检查结果能够很容易地转换成机器或人工能够读取的格式。
　　OVAL由MITRE公司开发，是一种用来定义检查项、脆弱点等技术细节的一种描述语言。OVAL同样使用标准的XML格式来组织其内容。OVAL语言提供了足够的灵活性，可以用于分析Windows、Linux等各种操作系统的系统状态、漏洞、配置、补丁等情况，而且还能用于描述测试报告。OVAL使用简洁的XML格式清晰地对与安全相关的系统检查点作出描述，并且这种描述是机器可读的，能够直接应用到自动化的安全扫描中。OVAL的本质是Open（公开），这就意味着任何人都可以为OVAL的发展作出自己的贡献，共享知识和经验，避免重复劳动。
　　XCCDF设计的目标是能够支持与多种基础配置检查技术交互。其中推荐的、默认的检查技术是MITRE公司的OVAL。在实际的SCAP应用中，XCCDF和OVAL往往是成对出现，如图1所示，XCCDF定义检查单，而OVAL定义每个检查项的具体实施细节。