软件产品的安全认证:图书馆或第三方服务如何？

Question

如果软件使用第三方库或服务，安全认证是如何工作的？

例如，如果有人想按照共同标准标准(例如CC EAL1)认证软件产品。该软件使用：

1)第三方提供的认证服务。

2)不同的库，例如数据加密。

3)用于存储数据的数据库

认证是否意味着只有CC EAL1认证的数据库(包括数据库驱动程序和ORM框架)、库和服务可以被认证的软件产品使用？

如果是，那么没有直接参与数据处理的库(例如日志框架)或内部使用的库(例如JSON或XML解析库等)如何？

Answer 1

“公共标准开发人员指南”(CCv3.1)中提到的配置管理范围(ALC_CMS类)描述了应该包括在配置列表中的内容。

从EAL2开始，应在此列表中提供构成评估目标(TOE)的部分，包括软件模块和硬件组件。

下面提到了评估程序操作：“评估程序将检查配置列表是否包括上面列出的配置项，并且这些配置项是否唯一地引用。”