security implicationsEdit

selon le Département de la sécurité intérieure des États-Unis, la sécurité logicielle est un risque sérieux d’utiliser un logiciel COTS. Si le logiciel COTS contient de graves vulnérabilités de sécurité, il peut introduire un risque important dans la chaîne d’approvisionnement logicielle d’une organisation. Les risques sont aggravés lorsque le logiciel COTS est intégré ou mis en réseau avec d’autres produits logiciels pour créer une nouvelle application composite ou un système de systèmes. L’application composite peut hériter des risques de ses composants COTS.,

Le Département de la sécurité intérieure des États-Unis a parrainé des efforts pour gérer les problèmes de cybersécurité de la chaîne d’approvisionnement liés à l’utilisation de COTS. Cependant, des observateurs de l’industrie du logiciel tels que Gartner et le SANS Institute indiquent que la perturbation de la chaîne d’approvisionnement constitue une menace majeure. Gartner prédit que « les chaînes d’approvisionnement informatiques d’entreprise seront ciblées et compromises, forçant des changements dans la structure du marché informatique et la façon dont il sera géré à l’avenir., »En outre, L’institut SANS a publié une enquête auprès de 700 professionnels de L’informatique et de la sécurité en décembre 2012 qui a révélé que seulement 14% des entreprises effectuent des examens de sécurité sur chaque application commerciale introduite en interne, et plus de la moitié des autres entreprises n’effectuent pas d’évaluations de sécurité. Au lieu de cela, les entreprises dépendent soit de la réputation des fournisseurs (25%) et des accords de responsabilité légale (14%), soit elles n’ont aucune politique pour traiter avec COTS et ont donc une visibilité limitée sur les risques introduits dans leur chaîne d’approvisionnement logicielle par COTS.,

problèmes dans d’autres industriesmodifier

dans l’industrie des dispositifs médicaux, les logiciels COTS peuvent parfois être identifiés comme SOUP (logiciel de pedigree inconnu ou logiciel de provenance inconnue), c’est-à-dire un logiciel qui n’a pas été développé avec un processus ou une méthodologie de développement connu, ce qui empêche son utilisation dans les dispositifs médicaux. Dans cette industrie, les défauts dans les composants logiciels pourraient devenir des défaillances du système dans l’appareil lui-même si les mesures ne sont pas prises pour garantir le respect de normes équitables et sûres., La norme CEI 62304: 2006 « logiciel de dispositif médical-processus du cycle de vie du logiciel » décrit les pratiques spécifiques pour s’assurer que les composants de soupe répondent aux exigences de sécurité du dispositif en cours de développement. Dans le cas où les composants logiciels sont des COTS, les meilleures pratiques DHS pour l’examen des risques logiciels COTS peuvent être appliquées. Le simple fait d’être un logiciel COTS n’implique pas nécessairement l’absence d’un historique des pannes ou d’un processus de développement logiciel transparent. Pour un logiciel COTS bien documenté, une distinction est faite comme soupe claire, ce qui signifie qu’il peut être utilisé dans des dispositifs médicaux.