不。在实践中，通用标准并不是确保或评估 Web 应用程序安全性的好工具。有几个原因：

• 关于如何评估 Web 应用程序的安全性有很多知识。有些公司会为您做到这一点（例如，Whitehat Security、Cigital 和许多其他公司）。我们不需要任何臭名昭著的标准。

• Common Criteria 一个笨拙的重量级工具。根据其他行业的经验，它不适合 Web 应用程序的快速创新和敏捷性。

• Common Criteria 评估成本高昂，而且通常不如人们想象的那么有效，因此它们可能不是评估 Web 应用程序安全性的有效方法。

• 我的感觉是，Common Criteria 评估通常过于倾向于在勾选复选框时进行官僚作风。此外，Common Criteria 评估人员存在利益冲突（他们由他们正在评估的人支付费用，这往往会导致评估人员往往有点松懈的最小公分母综合症）。结果，我看到了根据通用标准认证的高度不安全的产品。

• 通用标准评估非常耗时，因此产品在获得认证时几乎已过时并不罕见。

• 据我所知，Web 应用程序没有“保护配置文件”。原则上，Common Criteria 很乐意让您认证任何东西，如果有一个“保护配置文件”指定安全要求和威胁可能是什么。由于 Web 应用程序没有“保护配置文件”，因此即使您愿意，也无法根据通用标准认证 Web 应用程序。

总而言之，Common Criteria 主要解决的是合规性问题，而不是安全性问题。

就其本质而言，您可以使用 Common Criteria 来证明几乎任何东西。通用标准的第一步是定义被认证系统的外观，然后为该系统制定适当的安全标准。如果您有支持 IP 的螺丝刀，则可以通过通用标准对其进行认证（当然，假设它足够安全）。

例如，查看 Common Criteria Certified Products 列表，我看到了 BEA WebLogic 和 IBM WebSphere认证。这些是 Web 应用程序平台，比您正在寻找的平台更上一层楼。我还在列表中看到了 Splunk，它可以被认为是一个 Web 应用程序。

现在，当您说 Web 应用程序时，我不确定您在寻找什么。但 CC 认证产品列表中每个条目的唯一共同因素是，有人想将其出售给将安全认证作为其评估和购买过程一部分的人。如果您指的是诸如 Google Docs 或 Google Mail 之类的 Web 应用程序，那么 Google 不会将它们出售给任何人。当然，他们出售的是服务，而不是应用程序。所以没有必要让他们获得 CC 认证，因为这样做没有任何好处。

希望有帮助！