Security implicationsEdit

de acuerdo con el Departamento de Seguridad Nacional de los Estados Unidos, la seguridad del software es un grave riesgo de usar el software COTS. Si el software COTS contiene vulnerabilidades de seguridad graves, puede introducir un riesgo significativo en la cadena de suministro de software de una organización. Los riesgos se agravan cuando el software COTS está integrado o conectado en red con otros productos de software para crear una nueva aplicación compuesta o un sistema de sistemas. La aplicación compuesta puede heredar riesgos de sus componentes COTS.,

el Departamento de Seguridad Nacional de los Estados Unidos ha patrocinado esfuerzos para gestionar los problemas de seguridad cibernética de la cadena de suministro relacionados con el uso de COTS. Sin embargo, observadores de la industria del software como Gartner y el Instituto SANS indican que la interrupción de la cadena de suministro representa una amenaza importante. Gartner predice que «la empresa QUE las cadenas de suministro orientada y comprometida, obligando a los cambios en la estructura del mercado y cómo se logró avanzar.,»Además, el Instituto SANS publicó una encuesta de 700 profesionales de ti y seguridad en diciembre de 2012 que encontró que solo el 14% de las empresas realizan revisiones de seguridad en cada aplicación comercial presentada internamente, y más de la mitad de otras empresas no realizan evaluaciones de seguridad. En su lugar, las empresas dependen de la reputación del proveedor (25%) y los acuerdos de responsabilidad legal (14%) o no tienen políticas para tratar con COTS y, por lo tanto, tienen una visibilidad limitada de los riesgos introducidos en su cadena de suministro de software por COTS.,

problemas en otras industriaseditar

en la industria de dispositivos médicos, el software COTS a veces se puede identificar como SOUP (software de pedigrí desconocido o software de procedencia desconocida), es decir, software que no se ha desarrollado con un proceso o metodología de desarrollo de software conocido, lo que impide su uso en dispositivos médicos. En esta industria, las fallas en los componentes de software podrían convertirse en fallas del sistema en el propio dispositivo si no se toman las medidas para garantizar que se cumplan los estándares justos y seguros., La norma IEC 62304:2006 «Medical device software – Software life cycle processes» describe prácticas específicas para garantizar que los componentes de sopa cumplan con los requisitos de seguridad para el dispositivo que se está desarrollando. En el caso de que los componentes del software sean COTS, se pueden aplicar las mejores prácticas del DHS para la revisión de Riesgos del software COTS. El simple hecho de ser software COTS no implica necesariamente la falta de un historial de fallas o un proceso de desarrollo de software transparente. Para el software COTS bien documentado, se hace una distinción como sopa clara, lo que significa que puede usarse en dispositivos médicos.