Implicazioni di sicurezzamodifica

Secondo il Dipartimento della Sicurezza nazionale degli Stati Uniti, la sicurezza del software è un serio rischio di utilizzare il software CULLE. Se il software COTS contiene gravi vulnerabilità di sicurezza, può introdurre rischi significativi nella catena di fornitura del software di un’organizzazione. I rischi sono aggravati quando il software COTS è integrato o collegato in rete con altri prodotti software per creare una nuova applicazione composita o un sistema di sistemi. L’applicazione composite può ereditare i rischi dai suoi componenti CULLE.,

Il Dipartimento della Sicurezza Nazionale degli Stati Uniti ha sponsorizzato gli sforzi per gestire le questioni di sicurezza informatica della supply chain relative all’uso delle CULLE. Tuttavia, osservatori del settore del software come Gartner e il SANS Institute indicano che l’interruzione della supply chain rappresenta una grave minaccia. Gartner prevede che ” le supply chain IT aziendali saranno mirate e compromesse, costringendo i cambiamenti nella struttura del mercato IT e nel modo in cui verrà gestito in futuro.,”Inoltre, il SANS Institute ha pubblicato un sondaggio di 700 professionisti IT e della sicurezza nel dicembre 2012 che ha rilevato che solo il 14% delle aziende esegue revisioni di sicurezza su ogni applicazione commerciale portata in casa e oltre la metà delle altre aziende non esegue valutazioni di sicurezza. Invece le aziende o si affidano alla reputazione del fornitore (25%) e agli accordi di responsabilità legale (14%) o non hanno alcuna politica per trattare con le CULLE e quindi hanno una visibilità limitata sui rischi introdotti nella loro catena di fornitura del software da COTS.,

Problemi in altre industriemodifica

Nel settore dei dispositivi medici, il software COTS può talvolta essere identificato come SOUP (software di origine sconosciuta o software di provenienza sconosciuta), cioè software che non è stato sviluppato con un processo o una metodologia di sviluppo software noti, che ne preclude l’uso nei dispositivi medici. In questo settore, i guasti nei componenti software potrebbero diventare guasti del sistema nel dispositivo stesso se non vengono prese le misure per garantire il rispetto di standard equi e sicuri., Lo standard IEC 62304: 2006 “Medical device software-Processi del ciclo di vita del software” delinea pratiche specifiche per garantire che i componenti SOUP supportino i requisiti di sicurezza per il dispositivo in fase di sviluppo. Nel caso in cui i componenti software siano CULLE, è possibile applicare le best practice DHS per la revisione dei rischi del software CULLE. Essere semplicemente software COTS non implica necessariamente la mancanza di una cronologia dei guasti o di un processo di sviluppo software trasparente. Per il software CULLE ben documentati viene fatta una distinzione come ZUPPA chiara, il che significa che può essere utilizzato in dispositivi medici.