Open Vulnerability Assessment Language は、システム脆弱性、パッチ、設定値を定義およびテストするために SCAP アプリケーションによって使用されます。OVAL コンテンツは設定とパッチの定義で構成されています。SCAP アプリケーションは、OVAL スキーマに対応しており、以降のバージョンについても対応する予定です。ユーザは、評価用のカスタム OVAL コンテンツをユーザインタフェースを介して自分のアカウントにインポートできます。SCAP アプリケーションは、OVAL Definition Interpreter を使用して OVAL 定義を解釈し、対象マシンに対してリモートでスキャンを実行し、XCCDF チェックリストとベンチマークの評価用に OVAL テスト結果を返します。
リモートスキャンが正常に完了すると、実行した実際のテストの定義、使用したオブジェクトと変数、OVAL 状態、予測したデータタイプと値、および OVAL 定義とテスト参照の OVAL テスト結果を含む、OVAL 参照を識別する SCAP コンプライアンスレポートを実行できます。
SCAP ポリシー XML レポートは、XCCDF 仕様に準拠する XCCDF 結果ドキュメントです。ポリシー XML レポートは、XCCDF テスト結果を扱う XCCDF 仕様の一部に制約を課します。<Rule> 要素の子である <check> 要素は、ルールの OVAL 仕様を保持します。
SCAP 個別ホストレポートと SCAP ルール合格/不合格レポートの証拠の項には、証拠がレポート設定で要求されたときに OVAL 情報が含まれます。ルールの証拠の内容は、ノードによるツリー状の構造で表示されます。ノードは、各ホストに対して実行されたルールとスキャンのテストの論理を表します。