[cllfst] GNU/Linux : d'EAL2 à EAL4+

[ Thread Index | Date Index | More lists.tuxfamily.org/cllfst Archives ]

To: cllfst@xxxxxxxxxxxxxxxxxxx
Subject: [cllfst] GNU/Linux : d'EAL2 à EAL4+
From: "Baroudi Malek" <baroudi.malek@xxxxxxxxx>
Date: Sat, 25 Mar 2006 16:34:09 +0100
Domainkey-signature: a=rsa-sha1; q=dns; c=nofws; s=beta; d=gmail.com; h=received:message-id:date:from:to:subject:mime-version:content-type; b=J+BioVzhQedn46+oc4Xjc+uuNWLVE6O9+Fg3qyZAMqDlkhsGlfnBOhlEXG2g2uCO0H0sm5ukE7kJPGknyr6fJlKKVntw8c/1tapm7dq12V3EBpphckqCkmVed8gFRnvU5WsjMmfZUe4aarvxjlcOz/rHX1QwV7dMUt6zAgVC/is=

GNU/Linux : d'EAL2 à EAL4+

La certification d'un logiciel Open Source n'est pas chose facile. En effet, le développement est généralement peu ou pas formalisé, non uniforme et non centralisé.

Novell (SuSE) et Red Hat ont cependant fait passer leurs distributions par la certification EAL2 puis EAL3. Novell a également passé la certification EAL4.

Obtenue le 28 Juillet 2003 en Allemagne (avec BSI comme certificateur), la certification EAL2+ (Effectiveness Award Level) de SuSE Linux Enterprise Server 8 a été réalisée sur des serveurs IBM eServer xSeries. La certification Red Hat équivalente a été obtenue au Royaume-Uni le 6 Février 2004, avec comme sponsor Oracle, sur du matériel Dell et HP.

La certification porte à la fois sur le système d'exploitation et sur le matériel. On comprend donc l'intérêt pour une société telle qu'IBM ou Dell de financer ce type de certification. En effet, cela est bon pour leur image de marque.

Dès EAL4 apparaît un problème de suivi des contributions au niveau du code source. Pour Windows et, auparavant, Solaris, cela est facile, car ces logiciels sont propriétaires. Le développement est donc centralisé. Il est plus simple de tracer qui fait quoi. Windows 2000 SP3 a d'ailleurs décroché une certification EAL 4+ ; de nombreux systèmes Unix (AIX, HP-UX, etc) sont déjà EAL4.

Pour Mandriva (ou un autre distributeur GNU/Linux), cela est plus difficile dès lors que, par exemple, plus de 1000 développeurs contribuent sur le noyau Linux.

Cela est cependant possible. En mars 2005, Novell a ainsi obtenu en Allemagne une EAL4+ pour SuSE Linux Enterprise Server Version 9. L'opération était à nouveau sponsorisée par IBM.

Vers CC-EAL5 et CC-EAL7 ?

Mandriva travaille sur le développement d'un système d'exploitation basé sur Linux qui répondra au standard de sécurité CC-EAL5. La commande provient du ministère de la défense.

Lynux Works a l'ambition de certifier son produit compatible Linux pour EAL7. Il est cependant difficile à l'heure actuelle de dire si ce projet aboutira.

Sources :

· ISO 15408 : ''critères d'évaluation de la sécurité des technologies de l'information''

· Systèmes GNU/Linux et la certification Critères Communs

· MandrakeSoft développe un Linux sécurisé pour le compte du Mindef

--
"Qui allume sa bougie à la mienne reçoit de la lumière sans me plonger dans l'obscurité…"
' Thomas Jefferson'

Messages sorted by: [ date | thread ]
Prev by Date: [cllfst] La force des grandes communautés libres
Next by Date: [cllfst] Développements Java et J2EE : 18 sites incontournables
Previous by thread: [cllfst] La force des grandes communautés libres
Next by thread: [cllfst] Développements Java et J2EE : 18 sites incontournables

Mail converted by MHonArc 2.6.19+

http://listengine.tuxfamily.org/