IBM vuole un Linux certificato

Big Blue si è impegnata a fare in modo che, entro un anno, Linux possa ottenere una certificazione di sicurezza riconosciuta dai più importanti paesi occidentali, fra cui l'Italia, e richiesta da molte agenzie governative e militari

Armonk (USA) - Sull'onda dell'annuncio riportato ieri e riguardante la certificazione governativa ottenuta dal sistema operativo Red Hat Linux Advanced Server, IBM ha espresso la volontà di collaborare con la comunità open source affinché Linux possa fare un passo avanti e ottenere una certificazione ancor più ambita, la Common Criteria (CC): è questo un attestato che, sebbene di origine statunitense, viene oggi co-sviluppato e adottato da 14 nazioni di tutto il mondo, fra cui l'Italia.

Se la certificazione ottenuta da Red Hat, la Common Operating Environment (COE), ha principalmente l'obiettivo di verificare l'interoperabilità di un sistema operativo con altre piattaforme, il CC è un criterio attraverso cui viene valutato - a livello implementativo - il grado di sicurezza e di affidabilità di un prodotto tecnologico. Il CC è ad esempio requisito fondamentale affinché un prodotto informatico possa essere usato negli uffici governativi americani che svolgono una qualche attività nell'ambito della sicurezza nazionale.

IBM conta, in un arco di tempo di 10 mesi e con una spesa di 1 milione di dollari, di ottenere la certificazione CC per la distribuzione di Red Hat che gira sui propri sistemi eServer. In futuro Big Blue conta di estendere i suoi sforzi per certificare altre piattaforme basate su Linux: per far questo il colosso di Armonk si è impegnata a sviluppare nuove funzionalità di sicurezza da aggiungere al kernel di Linux e lavorare a stretto contatto con i distributori di Linux per agevolare la certificazione dei loro prodotti.
Inizialmente Red Hat e IBM "si accontenteranno" di una certificazione CC EAL (Evaluation Assurance Level) di livello 2: in totale i livelli sono sette e attestano il grado di sicurezza e affidabilità di un prodotto. Lo scorso anno Windows 2000 ottenne un EAL 4, il massimo livello che può essere assegnato da un laboratorio commerciale.

Come si spiegò nel caso di Windows 2000, il fatto che un sistema operativo risulti sicuro sotto un profilo funzionale e di progetto non significa affatto che non contenga bug: le specifiche Common Criteria non prevedono il setacciamento del codice alla ricerca di problemi di programmazione.
20 Commenti alla Notizia IBM vuole un Linux certificato
Ordina
  • le riviste che pubblicano le distribuzioni.
    i programmatori fanno la fame
    non+autenticato
  • io so che guadaganno un sacco di soldi, tu che fonti hai?
    non+autenticato

  • - Scritto da: Anonimo
    > le riviste che pubblicano le distribuzioni.
    > i programmatori fanno la fame

    Hai fatto un corso da telegrafista o ti colleghi col cellulare a 9k6 ? Se la tua capacità d'analisi è tutta qui, andiamo male......

    Con linux guadagnano soprattutto i brand delle distribuzioni aziendali: SuSE, Caldera, RH, TurboLinux etc. che sono normalissime aziende che pagano regolarmente i loro sviluppatori.

    Chi sviluppa linux, a parte gli hobbisti caciaroni su SF/FM che fanno il 20% del lavoro e l'80% del casino, di solito lavora in Università o altro istituto di ricerca, e quindi non fa la fame per definizione (solo in Italia un ricercatore 40enne guadagna meno di un operaio metalmeccanico...).

    I freelance e le aziende che sviluppano software personalizzato per linux normalmente non hanno solo quello come core business. Ma anche in caso contrario, i prezzi di mercato per lo sviluppo, l'assistenza e l'amministrazione su sistemi unix (indifferentemente) sono in media più alti rispetto a quelli dei sistemi MS. Questo è particolarmente vero per il mercato aziendale, d'altronde linux è particolarmente versato proprio su quel fronte.

    Le rivistine, col prezzo di copertina, riprendono le spese di duplicazione e poco più. Non ci rimettono (non sempre...) ma certo non si fanno i letti d'oro. Per ogni distribuzione su CD si stima che ce ne siano in giro almeno 80/100 scaricate in ISO (es. in università) e poi masterizzate in copie multiple. Vista la tendenza innata a scroccare della piccola utenza hobbistica e privata, chi spera di fare soldi da linux con i privati e i desktop merita un grasso ROFLASTC !
    non+autenticato

  • IL CERTIFICATO E' MIO E ME LO GESTISCO IO !!!!!

    ECCHECCAZZO !!!!

    Vada a fare in culo IBM !
    non+autenticato
  • ...faranno a turno le distribuzioni?

    ...e poi, ora che ci penso possono pure certificare tutte le distribuzioni linux del mondo, resta il fatto che il limite attuale di successo e considerazione di linux non verrà mai superato fin quando sto OS resterà gratis e quindi un prodotto per soli scrocconi fuori da ogni business.

    Il nipote di zio Bill
    =============
    non+autenticato

  • - Scritto da: Anonimo
    > ...faranno a turno le distribuzioni?
    >
    > ...e poi, ora che ci penso possono pure
    > certificare tutte le distribuzioni linux del
    > mondo, resta il fatto che il limite attuale
    > di successo e considerazione di linux non
    > verrà mai superato fin quando sto OS resterà
    > gratis e quindi un prodotto per soli
    > scrocconi fuori da ogni business.
    >
    > Il nipote di zio Bill
    > =============

    libero != gratis
    ci cascano in molti su questo, btw ti invito a leggere la GPL
    non+autenticato
  • non è quella che valuta il design dei sistemi operativi piuttosto che l'implementazione e il numero di bachi?

    No perché allora è solo vaporware, non serve a niente nè a windows nè a linux...

    sono solo parole...
  • Erano veri criteri fino al 1988.
    Cioè fino a quando i criteri erano fatti ad impronta e somiglianza dell'NSA per il pentagono principalmente.
    Molto più severi, molto più rigidi, non bastava eccellere su un servizio o alcuni: ma su tutti.
    Oggi servono solo come lasciapassare per gli appalti (principalmente pubblici) per il dato settore dove l'o.s. ha conquistato la palma a liv. 4 (3,2,1) in quei/quel servizi/o.
    L'NSA difatti ormai adotta criteri suoi e non ha più niente a che vedere con questi criteri politicizzati ed economicizzati (nel senso, voluti da politici che non capiscono una mazza di tecnologia generale e di tecnologia informatica in particolare; e da economisti che capiscono delle stesse ancora meno dei primi. un c*zzo).
    Se si vuole un vero o.s. che sia progettualmente sicuro, allora guardiamo all'NSA, al CERN, al Fermilab, etc.; non a queste pagliacciate non tecniche.

  • - Scritto da: BSD_like
    > Erano veri criteri fino al 1988.
    > Cioè fino a quando i criteri erano fatti ad
    > impronta e somiglianza dell'NSA per il
    > pentagono principalmente.
    > Molto più severi, molto più rigidi, non
    > bastava eccellere su un servizio o alcuni:
    > ma su tutti.
    > Oggi servono solo come lasciapassare per gli
    > appalti (principalmente pubblici) per il
    > dato settore dove l'o.s. ha conquistato la
    > palma a liv. 4 (3,2,1) in quei/quel
    > servizi/o.
    > L'NSA difatti ormai adotta criteri suoi e
    > non ha più niente a che vedere con questi
    > criteri politicizzati ed economicizzati (nel
    > senso, voluti da politici che non capiscono
    > una mazza di tecnologia generale e di
    > tecnologia informatica in particolare; e da
    > economisti che capiscono delle stesse ancora
    > meno dei primi. un c*zzo).
    > Se si vuole un vero o.s. che sia
    > progettualmente sicuro, allora guardiamo
    > all'NSA, al CERN, al Fermilab, etc.; non a
    > queste pagliacciate non tecniche.

    ... Solo FreeBSD e' NSA+CERN+Fermilab compliant ??
    Sarei proprio curioso di sapere cosa fai e dove lavori, perche' se non stai in uno di quei posti, sei proprio sprecato, con TUTTO quello che sai...
    Senza offesa, ma non ti va mai bene nulla !!!

    non+autenticato
  • ... eggia', peccato, non hai ancora completato il profilo...
    non+autenticato
  • A parte che di BSD esistono anche NetBSD, OpenBSD, BSDi, e Solaris fino a qualche anno fà era conforme tot. al BSD, ora è SysV.
    Ma a tale scopo avevo già scritto (non qualificandomi, al cambiamento di policy d'autentificazione di PI non avevo ancora creato il nickname originale, allora) quando win2000 ottenne la cert. 4 "di rete" (solo per il TCP/IP, cioè non DNS, firewalls, etc.) sui common criteria.
    Avevo documentato e spiegato la storia dei c. c.:
    http://punto-informatico.it/forum/pol.asp?mid=2800...

    Avevo altresì allora criticato quelle scelte fatte nel 1998 (scusate l'errore nel post) sul cambiamento dei metri di giudizio nei c. c.
    http://punto-informatico.it/forum/pol.asp?mid=2803...

    Le motivazioni sono le stesse di allora: erano più duri i metri di giudizio dei vecchi common criteria (oggettivamente più duri) quindi ciò era una maggiore garanzia di qualità.
    Oltretutto inutile farsi illusioni: IBM spenderà (o parteciperà alle spese di certificazione) di Linux, solo per i servizi che interessano la sua politica commerciale, che non vuol dire tutti (M$ ha fatto lo stesso, sapendo che il suo stack TCP/IP di deriv. FreeBSD aveva sicuramente il liv. 4 lo ha fatto certificare).
    Personalmente sono convinto che se una catena è debole in un anello, è debole tutta la catena, cosi gli o.s.
    È un bene che aziende come IBM adottino e spendano su Linux, ma sarebbe meglio che quei criteri non l'avessero toccati nel 98.
    L'NSA e la CIA difatti non vi guardano più.
  • - Scritto da: BSD_like
    > È un bene che aziende come IBM adottino e
    > spendano su Linux, ma sarebbe meglio che
    > quei criteri non l'avessero toccati nel 98.
    > L'NSA e la CIA difatti non vi guardano più.

    aggiungo a proposito delle scelte del NSA che quando c'e' stato da decidere su quale OS lavorare per implementare un MAC che fosse solido la scelta e' caduta su GNU/Linux; c'e' da dire che per forza di cose hanno dovuto scegliere un OS a sorgenti aperti ma come dicono lor stessi non e' stato l'unico fattore a determinare tale scelta.
    non+autenticato
  • Già Red Hat 6.2 deriv.; non me ne vogliano gli amanti Debian (che ho sul PC AMD MP dual, insieme a Red Hat 7.3, FreeBSD 4.7, NetBSD 1.6, OpenBSD 3.2, Solaris 8, QNX, Plan9, Debian Hurd, UNIXWare, spero d'aggiungere OpenUNIX: ognuno ha le sue manie) e Slack., ma sicuramente era la miglior distro Linux in quel periodo.
    Oltretutto è interessante la policy di gestione utente (a cominciare dal super user che smette di essere tale) con la patch del kernel dell'NSA.
    Forse molti fan win non lo sanno, ma una tale politica di gestione dell'utenza, evita che worm o virus, hack o crack possano fare danni seri (anzi li annulla nella stragrande maggioranza dei casi) al sistema anche assumendo permessi da "super user" (che non è quello classico dell'ambiente UNIX).
    Di contro sicuramente una gestione più prolissa, lunga e asfittica del server in questione: però quando si dice la sicurezza è tutto......... e vale qualsiasi cosa ....... qualche sacrificio lo si può fare.

  • - Scritto da: BSD_like
    > Già Red Hat 6.2 deriv.; non me ne vogliano
    > gli amanti Debian

    eccomi Sorride

    > Oltretutto è interessante la policy di
    > gestione utente (a cominciare dal super user
    > che smette di essere tale) con la patch del
    > kernel dell'NSA.

    bhe non e' proprio una novita quel tipo di policy era gia' parzialmente implementata con LIDS (che pero' non usava un vero e proprio MAC ma un ibrido)

    > Di contro sicuramente una gestione più
    > prolissa, lunga e asfittica del server in
    > questione: però quando si dice la sicurezza
    > è tutto......... e vale qualsiasi cosa
    > ....... qualche sacrificio lo si può fare.

    considera anche che il MAC non e' pensato per server che richiedano frequenti e pesanti cambi di configurazione e servizi, ma per sistem critici che debbano perlopiu' fare sempre la stessa cosa

    (btw un server ben configurato con SElinux o LIDS e la patch di solar design per rendere non eseguibile lo stack se non e' una cassaforte ci va abbastanza vicino Sorride

    FamosoPorcoDi3Lettere
    non+autenticato
  • Chi ha detto, poi che non mi va bene nulla?
    I nuovi metodi di giudizio di questi criteri non mi andavano bene (rispetto ai vecchi) prima e non mi vanno bene ora.
    L'appoggio in tal senso (con relative spese) di IBM per il pinguino mi va benissimo.
    Poi, oltre a NSA, Fermilab, CERN, hai (ed ho) dimenticato NASA (alla NASA utilizzano principalmente 2 o.s. Linux e NetBSD, ho scoperto da poco che era questo il BSD usato dalla NASA: devo ammettere che ha una capacità di sfruttamento dell'hw veramente eccezzionale oltre ad una capacità di rete sorprendente, settori (portabilità e networking) per cui è nato. Alla NASA come anche nei centri di cui sopra, utilizzano anche UNIX realtime sui controller delle apparecchiature, Linux e NetBSD sono gli o.s. dei server generici e di quelli generali).

    P.S.: Anche FreeBSD è un'ottimo o.s.:l'o.s. IOS di CISCO sui router è FreeBSD deriv., le apparecchiature di storage EMC^2 hanno o.s. FreeBSD. I concorrenti di CISCO adottano NetBSD deriv. Quando si dice BSD!!!!!!!!!

  • - Scritto da: BSD_like

    > P.S.: Anche FreeBSD è un'ottimo o.s.:l'o.s.
    > IOS di CISCO sui router è FreeBSD deriv., le
    > apparecchiature di storage EMC^2 hanno o.s.
    > FreeBSD. I concorrenti di CISCO adottano
    > NetBSD deriv. Quando si dice BSD!!!!!!!!!

    Attenzione. In questi casi (oltre alla indubbia bonta' del SO) pesa anche la licenza molto liberale.
    non+autenticato

  • - Scritto da: Anonimo
    > Sarei proprio curioso di sapere cosa fai e
    > dove lavori, perche' se non stai in uno di
    > quei posti, sei proprio sprecato, con TUTTO
    > quello che sai...

    In effetti non scrive cazzate e tende ad essere preciso.
    Non e' da tutti, inoltre tende a non essere sintetico-da-pigrizia-non-vedo-l'ora-di-pigiare-submit.
    E questo, specialmente in un forum, e' moltissimo.

    > Senza offesa, ma non ti va mai bene nulla !!!

    Sembra una critica piu' adatta a te.

    Anche se non capisci tutto, puoi sempre imparare qualcosa.
    O approfondire cio' che non hai capito.
    Se non ti interessa, puoi ignorarlo.

    E tutti vissero felici e contenti, ognuno col proprio metro.

    Burp
    non+autenticato
  • Pardon: Erano veri criteri fino al 1998; non 1988