Sécurité : JBoss Enterprise Application Platform certifié EAL4+ 

La pile middleware Java JBoss Enterprise Application Platform (EAP) a reçu son sésame pour pénétrer les très critiques systèmes des services financiers et de la santé. Red Hat a en effet annoncé que les versions 5.1.0 et 5.1.1 de EAP ont obtenu la certification Evaluation Assurance Level 4+ (EAL4+) lors d'une évaluation selon la méthodologie Common Criteria Evaluation and Certification Scheme (CCS).
La certification EAL permet d’évaluer les niveaux de sécurité d’une solution informatique. Comme l’indique Wikipedia, l’échelle court de 1 à 4+ (son plus haut grade) pour les applications destinées au civil, puis de 5 à 7 pour le monde militaire. Ce barème est défini dans le standard Common Criteria.

Red Hat indique que cette certification EAL 4+ constitue «le plus haut niveau de certification Common Criteria obtenu par des solutions du portefeuille JBoss Enterprise Middleware». Jusqu’alors, Enterprise Application Platform était certifié EAL2.
 
Pour obtenir cette certification, Red Hat s’est associé à un laboratoire accrédité par les gouvernements américain et allemand, atsec information security. De façon indépendante, celui-ci a  évalué et passé au crible le middleware Jboss, évaluant sécurité, performance et fiabilité puis l’a certifié conforme.

Red Hat inscrit cette stratégie de certification dans un plan global. Le groupe indique avoir obtenu 16 certifications Common Criteria différentes, dont 13 pour Red Hat Enterprise Linux, sur quatre plates-formes matérielles distinctes. Red Hat Enterprise Linux 5 a été  certifiée conforme aux spécifications Common Criteria EAL4+ pour les profils Controlled Access Protection Profile (CAPP), Label Security Protection Profile (LSPP) et Role-Based Access Control Protection Profile (RBACPP), confirme également l’éditeur.

RHEL 5 et 6 avec hyperviseur KVM sont actuellement en cours d’évaluation pour obtenir la certification EAL4+.