[cllfst] GNU/Linux : d'EAL2 à EAL4+ |
[ Thread Index | Date Index | More lists.tuxfamily.org/cllfst Archives ]
La certification d'un logiciel Open Source n'est pas chose facile. En effet, le développement est généralement peu ou pas formalisé, non uniforme et non centralisé.
Novell (SuSE) et Red Hat ont cependant fait passer leurs distributions par la certification EAL2 puis EAL3. Novell a également passé la certification EAL4.
Obtenue le 28 Juillet 2003 en Allemagne (avec BSI comme certificateur), la certification EAL2+ (Effectiveness Award Level) de SuSE Linux Enterprise Server 8 a été réalisée sur des serveurs IBM eServer xSeries. La certification Red Hat équivalente a été obtenue au Royaume-Uni le 6 Février 2004, avec comme sponsor Oracle, sur du matériel Dell et HP.
La certification porte à la fois sur le système d'exploitation et sur le matériel. On comprend donc l'intérêt pour une société telle qu'IBM ou Dell de financer ce type de certification. En effet, cela est bon pour leur image de marque.
Dès EAL4 apparaît un problème de suivi des contributions au niveau du code source. Pour Windows et, auparavant, Solaris, cela est facile, car ces logiciels sont propriétaires. Le développement est donc centralisé. Il est plus simple de tracer qui fait quoi. Windows 2000 SP3 a d'ailleurs décroché une certification EAL 4+ ; de nombreux systèmes Unix (AIX, HP-UX, etc) sont déjà EAL4.
Pour Mandriva (ou un autre distributeur GNU/Linux), cela est plus difficile dès lors que, par exemple, plus de 1000 développeurs contribuent sur le noyau Linux.
Cela est cependant possible. En mars 2005, Novell a ainsi obtenu en Allemagne une EAL4+ pour SuSE Linux Enterprise Server Version 9. L'opération était à nouveau sponsorisée par IBM.
Mandriva travaille sur le développement d'un système d'exploitation basé sur Linux qui répondra au standard de sécurité CC-EAL5. La commande provient du ministère de la défense.
Lynux Works a l'ambition de certifier son produit compatible Linux pour EAL7. Il est cependant difficile à l'heure actuelle de dire si ce projet aboutira.
Sources :
· ISO 15408 : ''critères d'évaluation de la sécurité des technologies de l'information''
· Systèmes GNU/Linux et la certification Critères Communs
· MandrakeSoft développe un Linux sécurisé pour le compte du Mindef
Mail converted by MHonArc 2.6.19+ | http://listengine.tuxfamily.org/ |