2

有一些关于国际通用标准的批评者,例如 [Under-attack]。1

在您看来,使用 CC 开发 IT 产品的优缺点是什么?

4

1 回答 1

3

我是 BSI(德国)和 NIAPP(美国)计划的通用标准评估员。我有少量经验,但我认为我有足够的资格回答这个问题。

优点:

  1. 与CC一起发展的首要优势是能够与美国政府开展业务。每次我对某人说这句话时,我都会死在里面,因为我真的很想成为安全的首要理由。可惜...
  2. 其次,它极大地提高了设计文档的质量,因为 CC 的大部分内容都围绕着分析文档展开,而好的文档是必需的。找一个好的实验室,他们可能会为你做所有这些。
  3. 它会让您意识到您从未想过的安全问题,例如客户如何知道我运送给他们的产品真的来自我而不是冒充我的人?
  4. 最后,遗憾的是,它将提高产品的技术安全性。获得一个好的实验室,您将获得非常强大的安全产品和认证。得到一个坏的,你会带着证书离开。

缺点:

  1. 极其昂贵。除非你有足够的金库来吸收数十万美元的冲击,否则你不会被 CC 淘汰。但是,如果您打算与联邦政府合作,如果他们真的喜欢您的产品,您可能会让他们按您的方式付款。
  2. 非常耗时。我们的评估持续 9-16 个月,具体取决于产品的复杂性和评估保证级别。给你一个想法,EAL 4 的通用 Linux 发行版可能需要一整年才能完成。
  3. 该证书仅适用于您产品的确切版本号。进行更新,证书无效。(但是,是否接受打补丁的产品取决于国防部的申请官员,所以并不是所有的希望都落空了。
  4. 它的价值在联邦市场以外的任何地方几乎一文不值。
  5. 根据您选择的方案,您将面临某些类型的政治、缺乏资源和额外的要求。最好的办法是找到一个可以帮助您完成所有事情的好的实验室。

请注意,我是从开发人员的角度为您提供优缺点。当从技术上谈论标准是如何建立的以及它的有效性是什么时,有一组不同的优点和缺点。

于 2009-07-27T21:50:48.970 回答