2

[Under-attack]のような国際的なコモンクライテリアについての批評家がいます。1

CCでIT製品を開発することの長所と短所は何だと思いますか?

4

1 に答える 1

3

私はBSI(ドイツ)およびNIAPP(米国)スキームのコモンクライテリア評価者です。私は少し経験がありますが、この質問に答えるのに十分な資格があると思います。

長所:

  1. CCで開発することの何よりも重要な利点は、米国政府とビジネスを行うことができることです。私は誰かにこれを言うたびに内部で死にます。なぜなら私は本当にセキュリティであることが一番の理由でありたいからです。しかし悲しいかな...
  2. 次に、CCの多くはドキュメントの分析を中心に展開しており、優れたドキュメントが必要であるため、設計ドキュメントの品質が大幅に向上します。良いラボを見つけてください。そうすれば、彼らはあなたのためにそれをすべてやってくれるかもしれません。
  3. これにより、私が出荷した製品が本当に私からのものであり、誰かが私になりすましているのではないことを顧客がどのように知っているかなど、これまで考えたことのないセキュリティの質問に気付くことができます。
  4. 最後に、悲しいことに、それは製品の技術的なセキュリティを向上させます。優れたラボを取得すれば、非常に強力で安全な製品と認定を取得できます。悪いものを手に入れれば、あなたはただ証明書を持って去るでしょう。

短所:

  1. 非常に高価です。あなたが数十万ドルのヒットを吸収するのに十分な深さの財源を持っていない限り、あなたはCCのために切り取られることはありません。ただし、連邦政府と協力する意図がある場合は、彼らがあなたの製品を本当に気に入っていれば、彼らにあなたのやり方でお金を払わせることができます。
  2. 非常に時間がかかります。製品の複雑さと評価保証レベルに応じて、評価は9〜16か月続きます。アイデアを与えるために、EAL4での一般的なLinuxディストリビューションは完了するのに1年かかる可能性があります。
  3. 証明書は、製品の正確なバージョン番号にのみ適用されます。更新すると、証明書が無効になります。(ただし、パッチを適用した製品を受け入れるかどうかは国防総省の要求担当官次第であるため、すべての希望が失われるわけではありません。
  4. その価値は、連邦市場以外ではほとんど価値がありません。
  5. 選択するスキームに応じて、特定の種類の政治、リソースの不足、および追加の要件に直面します。最善の方法は、すべてをサポートしてくれる優れたラボを見つけることです。

開発者の観点から、賛否両論を示していることに注意してください。基準がどのように設定され、その有効性が何であるかを技術的に話すとき、賛否両論の異なるセットがあります。

于 2009-07-27T21:50:48.970 に答える