Nürnberg/Stuttgart, 2003. augusztus 5.
A SuSE és az IBM bejelentették, hogy a két vállalat megkapta a "Common Criteria Security Certification" névre hallgató biztonsági tanúsítványt IBM eServer xSeries-en futó SuSE Linux Enterprise Server 8-ra. A két vállalat ezzel egy kritikus lépést tett a Linux kormányzati és vállalati, küldetéskritikus alkalmazási terülteken történő felhasználása érdekében. Ez az első Linux-alapú rendszer, mely biztonsági tanúsítvánnyal rendelkezik.A Common Criteria (CC) egy nemzetközileg elismert ISO szabvány (ISO 15408), melyet többek között az amerikai kormány, európai országok és más szervezetek használnak biztonságtechnikai minősítéséhez. A Common Criteria szabványos módon és szigorú követelményrendszerrel
határozza meg, hogy minek kell felelnie egy terméknek. Elismertsége széles körökre terjed ki. Az információ-technológiai szakemberek és kormányzati szervek mellett a vállalati ügyfelek is a megbízhatóság pecsétjének is tekintik, küldetéskritikus megoldások esetén.
"Nagyon örülünk, hogy a SuSE és az IBM közös erőfeszítésének köszönhetően a Linux elérte ezt a mérföldkövet a biztonságtechnikában," mondta Fritz Schulz a Defense Information Systems Agency-től. "A Common Criteria minősítés kritikus szemponttá válik a Linux küldetéskritikus környezetekben történő felhasználásakor."
Az IBM eServer xSeries gépeken futó SuSE Linux Enterprise Server 8 az Evaluation Assurance Level 2+ minősítést érte el, melyet EAL2-ként is hívnak. Az IBM és a SuSE azt is bejelentette, hogy az IBM eServer termékcsaládra
célba vették a Linux magasabb szintű, Controlled Access Protection Profile (EAL3+) minősítést is, amelynek való megfelelés még ebben az évben várható.
A Common Criteria minősítésen felül az IBM eServer-en futó SLES 8 még ebben az évben a Common Operating Environment (COE) szabványnak is megfelel majd, így
ugyanaz a termék két követelményrendszert is teljesít majd. Az utóbbi szabvány, mely egyben az amerikai védelmi minisztérium (DoD) szabványa is, a kereskedelemben kapható IT termékek használhatóságát és együttműködési képességeit határozza meg. A COE szabványt annak az ellenőrzésére használják, hogy mennyire egyezik meg egy szoftver kinézetében és kezelésében a kormányzati rendszerrel. A COE az amerikai kormány szabványos számítástechnikai környezeteként széles körökben elterjedt és elismert.
"Az IBM és a SuSE kiváló döntése, hogy kitegye a SuSE Linux Enterprise Server terméket a Common Criteria tesztnek, kihívást jelent azon szkeptikusok számára, akik azt állítják, hogy a nyílt forráskódú operációs rendszerek nem tudnak megfelelni egy ilyen tesztnek, mivel szerintük a nyílt forráskódú környezet alkalmatlan a hasonló, szabványos
folyamatokba való beilleszkedésre. Ez a bejelentés világosan mutatja az IBM elkötelezettségét egy olyan vállalati környezet mellett, mely biztonságos, költségtakarékos és nyílt," mondta Nicholas Donofrio, az IBM technológiáért és gyártásért felelős elnökhelyettese. "Ezzel a bejelentéssel megerősítjük azon elkötelezettségünket, hogy a teljes IBM eServer platformra
megszerezzük a Common Criteria minősítést. Ami a legfontosabb: a Common Criteria minősítés a nyílt forráskódú szoftverek minőségéről és biztonságáról is tanúsít, nem
csak kormányzati, hanem olyan ipari környezetben is, ahol a kritikus biztonsági megfelelést várnak el."
"A SuSE a világ egyetlen, nyílt forráskódú szoftvereket gyártó vállalata, amely a Common Criteria minősítésen keresztül megmutatta, hogy egy követhető minőségbiztosítási folyamaton keresztül a biztonsági kockázatokat ellenőrizni
és minimumra lehet csökkenteni," jelentette ki Richard Seibt,
a SuSE Linux vezérigazgatója. "A Common Criteria minősítés egy új csúcsot jelent a SuSE számára, mely a jövőben is meg tudja nyugtatni vállalatokat a SuSE Linux Enterprise Server magas minőségéről és biztonságáról."
A minősítést a világ egyik vezető gyártófüggetlen IT biztonsági tanácsadó irodája, a németországi Bundesamt für Sicherheit in der Informationstechnik (BSI) által akkreditált atsec information security GmbH végezte el az IBM támogatásával.
A Common Criteria minősítésnél a szabványokban meghatározott pontokban ellenőrzésre kerül többek között a fejlesztési környezet, a biztonságtechnikai funkcionalitás, a biztonsági sebezhetőségek kezelése, a biztonsági pontok dokumentációja és a termékteszt. Az IBM xSeries gépen futó
SLES 8-nál az atsec information security GmbH azt ellenőrizte, hogy a SuSE-nál hogyan zajlik a fejlesztés, a tesztelés és a termékek karbantartása, valamint azt, hogy a vállalaton belül milyen folyamatok zajlanak le egy saját terméket érintő biztonsági sebezhetőség felfedezésekor.
A SuSE és az IBM bejelentette, hogy a Common Criteria minősítés kulcsfontosságú elemeit a hónap végén közzé fogják tenni a CCeLinux konzorcium és a linuxos közösség
számára. Emellett a SuSE és az IBM a jövőben is együtt fog működni a nyílt forráskódú fejlesztőkkel, hogy aktívan támogassa a Linux biztonsági fejlesztését azért, hogy a
Linux még a jelen állapotánál is biztonságosabb legyen.
"Gratulálunk a SuSE-nek és az IBM-nek az információ biztonsága melletti elkötelezettségükért, melyről a SuSE Linux Enterprise Server 8 sikeres tesztelése és minősítése tanúskodik. Ezzel a termék azon kereskedelmi termékek bővülő listájához csatlakozik, melyek a Common Criteria nemzetközi biztonságtechnikai szabványnak megfelelnek, és melyek azon a termékelemek megbízhatóságát növelik, amelyekből még biztonságosabb információs rendszereket lehet építeni a szövetségi kormány számára", mondta Ron S.
Ross, a National Institute of Standards and Technology-tól.
Azon felül, hogy az IBM elkötelezte magát amellett, hogy gyorsítsa a Linux fejlesztését és minősítését biztonságos és az ipari követelményeknek megfelelő operációs rendszerként, az IBM abba is energiát fektet, hogy új és meglévő IBM termékekhez szerezzen minősítést. A Common Criteria minősítés például az IBM premier virtualization technology termékhez (z/VM) 2004-re lett tervbe véve. Az z/VM a mainframe ügyfelek számára azt teszi lehetővé,
hogy egyetlenegy zSeries szerveren több száz (vagy akár többezer) virtuális Linux szervert futtassanak. Ezen felül az IBM linuxos köztesszoftver termékcsaládjának minősítése is folyamatban van: az IBM Directory szintén most szerezte meg a Common Criteria minősítését, a WebSphere Application Server és a Tivoli Access Manager éppen minősítés alatt van, valamint további csoportmunka termékek is röviddel a minősítés előtt állnak.