SCAP アプリケーションは、eXtensible Configuration Checklist Document Format(XCCDF)のサポートを提供します。XCCDF は、セキュリティチェックリスト、ベンチマーク、関連タイプのコンプライアンスドキュメントを記述するための XML 仕様言語です。XCCDF ドキュメントは、対象システムのセットに対してセキュリティ設定ルールの構造化されたコレクションを表します。XCCDF は、確認または検証するシステム特性を記述します。
SCAP アプリケーションは、ユーザのアカウントで定義した SCAP ポリシーに基づいて XCCDF ルールを評価します。ユーザはサービスによって提供される SCAP ポリシーライブラリからポリシーをインポートできます。ユーザ定義の SCAP コンテンツをアップロードすることにより、カスタムポリシーを作成することもできます。ユーザは、自身のチェックリスト、ベンチマーク、またはコンプライアンスドキュメントに基づいて、SCAP ポリシーの SCAP コンテンツをアップロードできます。アップロードされた XCCDF コンテンツの XML の検証は、ユーザがコンプライアンススキャンを実行する前に、ポリシーの SCAP コンテンツをアップロードする時点で行われます。SCAP スキャン中、SCAP オプションを有効にした Scanner Appliance は、OVAL Definition Interpreter を使用して OVAL ルールと XCCDF ルールを解釈し、チェックを評価して、これらのコンプライアンスクラスの CCE ルール ID 結果を準拠または非準拠とマーク付けします。