Pour effectuer la CSPN il est obligatoire que les auditeurs aient accès au code source
En parlant de source, tu en as une pour cette affirmation ?
Parce que d’après les propres documents de l’ANSSI, c’est totalement faux.
Certification de sécurité de premier niveau des produits des technologies de l’information, ANSSI-CSPN-CER-P-0/1.1 :
Le déroulement de l’évaluation repose sur :
la documentation fournie ;
au minimum, les bases publiques de vulnérabilités pour l’analyse du produit par rapport aux vulnérabilités connues pour le type de produit analysé ;
le produit lui-même, installé sur une plate-forme de test aussi représentative que possible de son environnement prévu d’utilisation
Il n’est fait nulle mention du code source dans ce document.
Critères pour l’évaluation en vue d’une certification de sécurité de premier niveau, ANSSI-CSPN-CER-I-02/1.1
4.4 Phase 4 – Analyse de la conformité – revue du code source (si disponible)
Donc l’évaluateur peut procéder à une revue du code source si l’éditeur du produit le lui fournit, mais ce dernier n’a aucune obligation de le faire.
Et l’ANSSI n’attend de la revue de code qu’elle ne porte que sur
la lisibilité et la structuration du code source (exemples de critères : existence de commentaires, découpage en modules, typage des données, portabilité, etc.), en précisant les modules qui ont été regardés.
Donc, on n’attend de la revue de code (quand elle a lieu) ni qu’elle soit exhaustive (l’évaluateur peut ne regarder qu’une partie des modules), ni qu’elle ne cherche des failles ou des vulnérabilités.
[^] # Re: Une honte
Posté par gouttegd . En réponse à la dépêche Tixeo, une solution propriétaire de visioconférence sécurisée sous GNU/Linux. Évalué à 9.
En parlant de source, tu en as une pour cette affirmation ?
Parce que d’après les propres documents de l’ANSSI, c’est totalement faux.
Il n’est fait nulle mention du code source dans ce document.
Donc l’évaluateur peut procéder à une revue du code source si l’éditeur du produit le lui fournit, mais ce dernier n’a aucune obligation de le faire.
Et l’ANSSI n’attend de la revue de code qu’elle ne porte que sur
Donc, on n’attend de la revue de code (quand elle a lieu) ni qu’elle soit exhaustive (l’évaluateur peut ne regarder qu’une partie des modules), ni qu’elle ne cherche des failles ou des vulnérabilités.