※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
1 スコープ
このテクニカル レポートは、ISO/IEC 18045 で定義されている AVA_VAN 保証ファミリ アクティビティを改良し、ソフトウェアの評価対象の ISO/IEC 15408 評価を実施するために、関連する潜在的な脆弱性の特定、選択、および評価に関するより具体的なガイダンスを提供します。このテクニカル レポートは、公開されている情報セキュリティ リソースを活用して、ISO/IEC 18045 脆弱性分析活動の範囲を特定し、実装する方法をサポートします。テクニカル レポートでは現在、一般的な弱点の列挙 (CWE) と一般的な攻撃パターンの列挙と分類 (CAPEC) を使用していますが、他の適切なリソースの使用を排除していません。さらに、このテクニカル レポートは、ISO/IEC 18045 で概説されている活動の範囲外のものを含め、考えられるすべての脆弱性分析方法に対処することを意図したものではありません。
このテクニカル レポートは、まだ一般的に合意されたガイダンスがない特定の高保証 ISO/IEC 15408 コンポーネントに対する評価者のアクションを定義していません。
1 Scope
This Technical Report refines the AVA_VAN assurance family activities defined in ISO/IEC 18045 and provides more specific guidance on the identification, selection and assessment of relevant potential vulnerabilities in order to conduct an ISO/IEC 15408 evaluation of a software target of evaluation. This Technical Report leverages publicly available information security resources to support the method of scoping and implementing ISO/IEC 18045 vulnerability analysis activities. The Technical Report currently uses the common weakness enumeration (CWE) and the common attack pattern enumeration and classification (CAPEC), but does not preclude the use of any other appropriate resources. Furthermore, this Technical Report is not meant to address all possible vulnerability analysis methods, including those that fall outside the scope of the activities outlined in ISO/IEC 18045.
This Technical Report does not define evaluator actions for certain high assurance ISO/IEC 15408 components, where there is as yet no generally agreed guidance.