Journal Linux, toujours pas prêt pour les applications critiques ?

Posté par  .
Étiquettes : aucune
0
17
fév.
2005
IBM et Novell ont annoncé lors du salon LinuxWorld que SuSE Linux Enterprise Server 9 est désormais la première distribution à être certifiée par l'Evaluation Assurance Level (EAL) 4+. Selon les deux sociétés, cette certification de haut niveau de sécurité permettra au système d'exploitation d'être adopté par les Etats et agences gouvernementales dans le cadre d'applications critiques.

Source VNUnet.fr :
http://www.vnunet.fr/actualite/logiciels/systemes_dexploitation/200(...)

Un site qui essaye de récapituler les migrations :
http://lxer.com/module/db/viewby.php?uid=108&option=&value=(...)

  • # Re: Linux, toujours pas prêt pour les applications critiques ?

    Posté par  . Évalué à 3.

    Quelle question ...

    Linux est près et depuis longtemps.
    Si Linux n'est pas toujours certifié, c'est car ça coûte cher. Pour être certifier il faut affecter du personnel qui serait peut-être plus productif ailleurs.
    SuSE et Red Hat était déjà certifié EAL3. Ils sont (seront) certifier EAL4 car ils sont maintenant plus gros et ça impacte moins leur productivité pour le faire (j'enfonce une porte ouverte, mais avec des moyens finis on ne peut pas tout faire et il faut faire des choix).
    Pour info, RHEL 3 est aussi certifié COE qui est aussi dure voir plus que EAL4 et ça depuis 2 ans...

    Et je ne vois pas la certification de SuSE EAL4 :
    http://niap.nist.gov/cc-scheme/vpl/vpl_assur_lvl.html(...)

  • # Mandrake etc.

    Posté par  (site web personnel) . Évalué à 2.

    Mandrake a échoué dans sa certification EAL5 ? Ou elle ne l'a pas encore passé ? Elle devait passer cette certification pour être utilisé par le ministère de la défense français : http://linuxfr.org/2004/09/24/17269.html(...)

    • [^] # Re: Mandrake etc.

      Posté par  . Évalué à 1.

      à ma connaissance (des dires François Bancilhon en date du 7 janvier 2005 si mes souvenir sont exacts) ils ne l'ont pas encore passée, mais ils y travaillent.


      (Je crois que le niveau 5 est un peu ardu à obtenir et demande des developpements supplémentaires coté noyau, pas simplement des signatures)

  • # EAL 4+, oui mais pour quelle profil ?

    Posté par  (site web personnel) . Évalué à 3.

    Dire que SuSE Linux Enterprise Server 9 a obtenu l'évaluation EAL4+, c'est bien, mais il faudrait précider le profil (Protection Profile).

    Pour faire simple, le profil regroupe l'ensemble des spécifications auquel le système évalué doit se conformer. Il en existe plusieurs comme le Controlled Access Protection Profile (celui de windows 2000 lors de son évaluation) ou le Smart Card Protection Profile pour les cartes à puce.

    Un site qui parle de l'évaluation de Windows 2000 et des conclusions qui peuvent être tirés au sujet de sa sécurité : http://eros.cs.jhu.edu/~shap/NT-EAL4.html(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.