Обновления
Отдельную проблему представляют собой обновления. Современное программное обеспечение немыслимо без обновлений. Одни добавляют новые функции, возможности. Другие (исправления, патчи, багфиксы) устраняют ошибки, некорректную работу программного обеспечения. Особенно важны исправления, которые устраняют найденные уязвимости. Но как в условиях гарантировать, что после обновлений программное обеспечение соответствует тем же требованиям безопасности, на соответствие которым оно проходило испытания? Ведь обновления могут изменять (намеренно или случайно) работу функций безопасности. Более того, через механизм обновлений злоумышленники могут намеренно нарушать работу функций безопасности. Если раньше обновления компоновались в пакеты (сервиспаки) и выходили сравнительно редко (раз в полгода-год), то теперь, с распространением Интернета и модели непрерывной разработки, исправления появляются буквально ежедневно. Обновлять нельзя, но и не обновлять тоже нельзя: часть обновлений закрывает критические уязвимости.
Подход к решению этой сложной задачи описан в
новом положении о сертификации. Среди обновлений выделяются те, которые добавляют или изменяют функции безопасности. Программное обеспечение после этих обновлений нужно испытывать заново в испытательной лаборатории.
Но, как известно, среди обновлений безопасности есть и критические, которые нужно применять немедленно. А испытания в лаборатории в любом случае займут дни или даже недели. Как же быть? В положении написано, что проинформировать пользователей и передать им эти обновления нужно сразу, до проведения испытаний. Другие обновления, то есть те, которые не влияют на функции безопасности, заявитель может испытывать и самостоятельно.