SuSE, IBM: az első linuxos biztonsági tanúsítvány

A Common Criteria (CC) egy nemzetközileg elismert ISO szabvány (ISO 15408), melyet többek között az amerikai kormány, európai országok és más szervezetek használnak biztonságtechnikai minősítéséhez. A Common Criteria szabványos módon és szigorú követelményrendszerrel határozza meg, hogy minek kell felelnie egy terméknek. Elismertsége széles körökre terjed ki. Az információ-technológiai szakemberek és kormányzati szervek mellett a vállalati ügyfelek is a megbízhatóság pecsétjének is tekintik, küldetéskritikus megoldások esetén.

Az IBM eServer xSeries gépeken futó SuSE Linux Enterprise Server 8 az Evaluation Assurance Level 2+ minősítést érte el, melyet EAL2-ként is hívnak. Az IBM és a SuSE azt is bejelentette, hogy az IBM eServer termékcsaládra célba vették a Linux magasabb szintű, Controlled Access Protection Profile (EAL3+) minősítést is, amelynek való megfelelés még ebben az évben várható.

A Common Criteria minősítésen felül az IBM eServer-en futó SLES 8 még ebben az évben a Common Operating Environment (COE) szabványnak is megfelel majd, így ugyanaz a termék két követelményrendszert is teljesít majd. Az utóbbi szabvány, mely egyben az amerikai védelmi minisztérium (DoD) szabványa is, a kereskedelemben kapható IT termékek használhatóságát és együttműködési képességeit határozza meg. A COE szabványt annak az ellenőrzésére használják, hogy mennyire egyezik meg egy szoftver kinézetében és kezelésében a kormányzati rendszerrel. A COE az amerikai kormány szabványos számítástechnikai környezeteként széles körökben elterjedt és elismert.

˝A SuSE a világ egyetlen, nyílt forráskódú szoftvereket gyártó vállalata, amely a Common Criteria minősítésen keresztül megmutatta, hogy egy követhető minőségbiztosítási folyamaton keresztül a biztonsági kockázatokat ellenőrizni és minimumra lehet csökkenteni.˝ jelentette ki Richard Seibt, a SuSE Linux vezérigazgatója – ˝A Common Criteria minősítés egy új csúcsot jelent a SuSE számára, mely a jövőben is meg tudja nyugtatni vállalatokat a SuSE Linux Enterprise Server magas minőségéről és biztonságáról.˝

A minősítést a világ egyik vezető gyártófüggetlen IT biztonsági tanácsadó irodája, a németországi Bundesamt für Sicherheit in der Informationstechnik (BSI) által akkreditált atsec information security GmbH végezte el az IBM támogatásával. A Common Criteria minősítésnél a szabványokban meghatározott pontokban ellenőrzésre kerül többek között a fejlesztési környezet, a biztonságtechnikai funkcionalitás, a biztonsági sebezhetőségek kezelése, a biztonsági pontok dokumentációja és a termékteszt. Az IBM xSeries gépen futó SLES 8-nál az atsec information security GmbH azt ellenőrizte, hogy a SuSE-nál hogyan zajlik a fejlesztés, a tesztelés és a termékek karbantartása, valamint azt, hogy a vállalaton belül milyen folyamatok zajlanak le egy saját terméket érintő biztonsági sebezhetőség felfedezésekor.

A SuSE és az IBM bejelentette, hogy a Common Criteria minősítés kulcsfontosságú elemeit a hónap végén közzé fogják tenni a CCeLinux konzorcium és a linuxos közösség számára. Emellett a SuSE és az IBM a jövőben is együtt fog működni a nyílt forráskódú fejlesztőkkel, hogy aktívan támogassa a Linux biztonsági fejlesztését azért, hogy a Linux még a jelen állapotánál is biztonságosabb legyen.