Certificazione di sicurezza dei prodotti software: che dire delle librerie o dei servizi di terze parti?

1

Come funziona la certificazione di sicurezza se il software utilizza librerie o servizi di terze parti?

Ad esempio, se qualcuno desidera certificare un prodotto software seguendo lo standard Common Criteria (diciamo CC EAL1). E il software utilizza:

1) servizio di autenticazione fornito da terze parti.

2) librerie diverse, ad es. per la crittografia dei dati.

3) database per la memorizzazione dei dati

La certificazione implica che solo i database certificati CC EAL1 (inclusi driver di database e framework ORM), librerie e servizi potrebbero essere utilizzati da un prodotto software certificato?

Se sì, che dire delle librerie che non sono direttamente coinvolte nell'elaborazione dei dati, ad es. quadri di registrazione o librerie utilizzate internamente, ad es. Librerie di analisi JSON o XML e così via?

    
posta Andrey Sapegin 21.01.2015 - 12:27
fonte

1 risposta

0

L'ambito di gestione della configurazione (classe ALC_CMS), menzionato nella Guida agli sviluppatori di Criteri comuni (CC v3.1), descrive cosa deve essere incluso nell'elenco di configurazione.

A partire da EAL2, le parti che comprendono il Target of Evaluation (TOE) dovrebbero essere fornite in questo elenco, inclusi moduli software e componenti hardware.

Viene menzionata la seguente azione di valutazione: "Il valutatore verificherà che l'elenco di configurazione includa gli elementi di configurazione sopra elencati e che questi elementi di configurazione siano referenziati in modo univoco."

    
risposta data 03.02.2015 - 12:04
fonte

Leggi altre domande sui tag