Certificación de seguridad de productos de software: ¿qué sucede con las bibliotecas o los servicios de terceros?

1

¿Cómo funciona la certificación de seguridad si el software utiliza bibliotecas o servicios de terceros?

Por ejemplo, si alguien quisiera certificar un producto de software siguiendo el estándar Common Criteria (digamos, CC EAL1). Y el software utiliza:

1) servicio de autenticación proporcionado por un tercero.

2) bibliotecas diferentes, por ejemplo, para el cifrado de datos.

3) base de datos para almacenar los datos

¿La certificación implica que solo los productos de software certificados podrían utilizar las bases de datos certificadas CC EAL1 (incluidos el controlador de base de datos y el marco ORM), las bibliotecas y los servicios?

En caso afirmativo, ¿qué hay de las bibliotecas que no están directamente involucradas en el procesamiento de datos, por ejemplo? marcos de registro o bibliotecas que se utilizan internamente, por ejemplo, Bibliotecas de análisis JSON o XML, etc.?

    
pregunta Andrey Sapegin 21.01.2015 - 12:27
fuente

1 respuesta

0

El alcance de Configuration Management (clase ALC_CMS), mencionado en la Guía de Desarrolladores de Criterios Comunes (CC v3.1) describe qué se debe incluir en la lista de configuración.

A partir de EAL2, las partes que comprenden el objetivo de evaluación (TOE) deben incluirse en esta lista, incluidos los módulos de software y los componentes de hardware.

Se menciona la siguiente acción del evaluador: "El evaluador comprobará que la lista de configuración incluya los elementos de configuración enumerados anteriormente y que estos elementos de configuración tengan una referencia única".

    
respondido por el Andrey Sapegin 03.02.2015 - 12:04
fuente

Lea otras preguntas en las etiquetas