¿Cómo funciona la certificación de seguridad si el software utiliza bibliotecas o servicios de terceros?
Por ejemplo, si alguien quisiera certificar un producto de software siguiendo el estándar Common Criteria (digamos, CC EAL1). Y el software utiliza:
1) servicio de autenticación proporcionado por un tercero.
2) bibliotecas diferentes, por ejemplo, para el cifrado de datos.
3) base de datos para almacenar los datos
¿La certificación implica que solo los productos de software certificados podrían utilizar las bases de datos certificadas CC EAL1 (incluidos el controlador de base de datos y el marco ORM), las bibliotecas y los servicios?
En caso afirmativo, ¿qué hay de las bibliotecas que no están directamente involucradas en el procesamiento de datos, por ejemplo? marcos de registro o bibliotecas que se utilizan internamente, por ejemplo, Bibliotecas de análisis JSON o XML, etc.?