|
|
L'analisi delle vulnerabilità viene eseguita dallo sviluppatore al fine di accertare la presenza di punti deboli nella sicurezza e deve considerare il contenuto di tutti i TOE che verranno consegnati incluso il ST per l'EAL stabilito. Allo sviluppatore è richiesto di documentare le disposizioni delle vulnerabilità identificate per permettere al valutatore di poter usare quelle informazioni per un analisi indipendente del valutatore.
Lo scopo dell'analisi dello sviluppatore è quello di confermare che nessuna delle vulnerabilità identificata può essere sfruttata per attaccare il TOE e che quest'ultimo è a prova di ovvi attacchi di penetrazione.
Si considerano vulnerabiltà ovvie quelle che per la violazione necessitano di una minima comprensione del TOE, di abilità, di tecniche sofisticate e risorse. Queste possono essere suggerite dalla descrizione dell'interfaccia del TSF. Le vulnerabilità ovvie includono anche quelle di pubblico dominio, i dettagli delle quali devono essere noti allo sviluppatore.8.8
La ricerca sistematica delle vulnerabilità richiede che lo sviluppatore identifichi i punti deboli in modo strutturato e ripetibile, in opposizione ad un metodo di identificazione ad-hoc. Le prove associate alla ricerca sistematica devono includere la documentazione di tutto il TOE sulla quale si è basata la ricerca dei difetti.
La famiglia è composta dai seguenti componenti:
