Come funziona la certificazione di sicurezza se il software utilizza librerie o servizi di terze parti?
Ad esempio, se qualcuno desidera certificare un prodotto software seguendo lo standard Common Criteria (diciamo CC EAL1). E il software utilizza:
1) servizio di autenticazione fornito da terze parti.
2) librerie diverse, ad es. per la crittografia dei dati.
3) database per la memorizzazione dei dati
La certificazione implica che solo i database certificati CC EAL1 (inclusi driver di database e framework ORM), librerie e servizi potrebbero essere utilizzati da un prodotto software certificato?
Se sì, che dire delle librerie che non sono direttamente coinvolte nell'elaborazione dei dati, ad es. quadri di registrazione o librerie utilizzate internamente, ad es. Librerie di analisi JSON o XML e così via?