Common Criteria (CC) es un estándar ISO (ISO 15408) reconocido a nivel internacional y utilizado por el gobierno estadounidense y otras organizaciones para evaluar el nivel de seguridad de los productos tecnológicos. CC supone un método estandarizado para formular requisitos de seguridad y define un conjunto de criterios muy rigurosos en función de los cuales se evalúan los productos. Este estándar es aceptado por los profesionales de la informática, agencias gubernamentales y clientes como un símbolo de calidad para el software de misión crítica.
"Estamos muy satisfechos de que Linux haya alcanzado este hito de seguridad gracias a los esfuerzos conjuntos de IBM y SuSE," declaró Fritz Schulz, Defense Information Systems Agency. "La certificación Common Criteria de Linux será un factor clave a la hora de aplicar este sistema operativo en entornos de misión crítica."
SuSE Linux Enterprise Server 8 en IBM eServer xSeries ha sido merecedor de una certificación Evaluation Assurance Level 2+, a la que se conoce normalmente como EAL2+. Según han anunciado hoy también IBM y SuSE, ambas compañías van a presentar este año SuSE Linux en toda la línea eServer de IBM a una certificación de seguridad de nivel superior llamada Controlled Access Protection Profile con EAL3+.
Además de la certificación Common Criteria, se espera que SuSE Linux Enterprise Server 8 alcance en el 2003 el estándar Common Operating Environment (COE) en las plataformas eServer de IBM, con lo que cumpliría simultáneamente los requisitos Common Criteria y COE. Este estándar del Departamento de Defensa (DoD) de los EE.UU. mide las prestaciones en términos de funcionalidad e interoperatibilidad de productos informáticos adquiridos comercialmente. La especificación COE se utiliza para verificar el aspecto, manejo y funcionalidad de productos de software en combinación con el código personalizado del gobierno estadounidense. COE está ampliamente reconocido como el entorno informático estándar en los sistemas de control de la administración norteamericana.
"La decisión histórica de someter SuSE Linux Enterprise Server a las pruebas Common Criteria desafía la opinión de muchos escépticos que mantenían que los sistemas de código abierto eran incapaces de superar estas pruebas debido a la dificultad de definir procesos en un entorno Open Source. Este anuncio demuestra el compromiso de IBM con una infraestructura informática empresarial segura, económica y abierta," señaló Nicholas Donofrio, Senior Vice President of Technology and Manufacturing de IBM. "Con este anuncio seguimos trabajando por nuestro objetivo de conseguir la certificación Common Criteria para todas las plataformas eServer de IBM. Lo que resulta aún más importante: la evaluación Common Criteria certifica la seguridad y calidad del software de código abierto, no sólo para los gobiernos sino también para otros sectores de la industria con requisitos muy exigentes en materia de seguridad."
"SuSE es el único proveedor del sistema operativo de código abierto que ha demostrado una competencia técnica al nivel de Common Criteria para controlar y minimizar los riesgos de seguridad mediante minuciosos procesos de control de calidad," señala Richard Seibt, CEO de SuSE Linux. "SuSE vuelve a distinguirse con la evaluación Common Criteria, la cual supone para las empresas una garantía más de los altos estándares de SuSE Linux Enterprise Server en términos de calidad y seguridad."
La evaluación fue llevada a cabo por la empresa atsec information security GmbH, una de las consultoras de seguridad informática con indepencia de vendedores líder a escala mundial y acreditada en Alemania por la Oficina Federal de Seguridad en las TT.II. (BSI).
En el marco de la certificación Common Criteria, los productos son evaluados conforme a criterios muy estrictos en diversas categorías como el entorno de desarrollo, la seguridad funcional, la actuación frente a puntos vulnerables en la seguridad, documentación sobre temas de seguridad y pruebas del producto. En el proceso de certificación de SLES 8 en IBM xSeries, atsec information security GmbH evaluó no sólo la forma en la que SuSE Linux desarrolla, prueba y mantiene sus productos, sino también sus procesos empresariales para tratar las cuestiones de seguridad en el software. IBM y SuSE se han comprometido a liberar hasta fin de mes componentes clave de la certificación Common Criteria para el consorcio CCeLinux y la comunidad de desarrollo de Linux. Además, IBM y SuSE seguirán colaborando activamente con la comunidad desarrolladora Open Source para hacer de Linux un sistema operativo cada vez más seguro.
"Felicitamos a IBM y SuSE por su compromiso con la seguridad en las TT.II. tal y como ha puesto en evidencia la reciente certificación de SuSE Linux Enterprise Server 8. Este producto Linux para servidor se suma a una lista cada vez más larga de productos comerciales evaluados conforme al estándar internacional de seguridad Common Criteria, logrando con ello un mayor nivel de seguridad en los productos utilizados para construir los sistemas informáticos para el gobierno norteamericano," indicó el Dr. Ron S. Ross, National Institute of Standards and Technology.
Además del compromiso constante de IBM por acelerar el desarrollo y la certificación de Linux como un sistema operativo seguro y acorde con las necesidades del sector industrial, IBM tiene previsto seguir invirtiendo en certificaciones continuas para los productos actuales y futuros de IBM. La empresa planea obtener la certificación Common Criteria para su tecnología de virtualización z/VM el próximo año. z/VM permite a los clientes del segmento de mainframes ejecutar decenas o incluso cientos de instancias del sistema operativo Linux en un único servidor zSeries. La suite de productos middleware de IBM se encuentra también a la espera de ser certificada en Linux según el estándar Common Criteria. Mientras el producto IBM Directory acaba de completar dicha evaluación, WebSphere Application Server y Tivoli Access Manager están siendo evaluados actualmente y otros productos de software IBM Software se encuentran en preparación para ese proceso.