Skip to content

DoD über CC

In einem Report (PDF) des U.S. DoD findet man folgende - doch recht amüsante - Anmerkung:
The primary process relied upon by the DoD for evaluation of the assurance of commercial products today is the Common Criteria (CC) evaluation process. The task force believes that Common Criteria is presently inadequate to raise sufficiently the trustworthiness of software products for the DoD. This is particularly true at Evaluation Assurance Level-4 (EAL4) and below, where penetration testing is not performed. Nonetheless, Common Criteria evaluation is an international program, well established, and not easy to change.
Es ist interessant zu sehen, dass einer der Haupt-Initiatoren der Common Criteria nun erkennt, dass diese nicht sehr nützlich ist - und was noch viel interessanter ist - nicht so einfach geändert werden kann, da diese nun im Standardisierung-Morast festsitzt. Auf den Report hat übrigen's Oracle's CSO Mary Ann Davidson hingewiesen.