Implicationsedit

de acordo com o Departamento de Segurança Interna dos Estados Unidos, a segurança do software é um sério risco de usar o software COTS. Se o software COTS contém graves vulnerabilidades de segurança, ele pode introduzir um risco significativo na cadeia de fornecimento de software de uma organização. Os riscos são agravados quando o software COTS é integrado ou em rede com outros produtos de software para criar uma nova aplicação composta ou um sistema de sistemas. A aplicação composta pode herdar riscos de seus componentes COTS.,o Departamento de Segurança Interna dos EUA patrocinou esforços para gerir as questões de segurança cibernética da cadeia de abastecimento relacionadas com o uso de berços. No entanto, observadores da indústria de software, como Gartner e o SANS Institute, indicam que a ruptura da cadeia de abastecimento representa uma grande ameaça. Gartner prevê que ” as cadeias de fornecimento de TI corporativas serão direcionadas e comprometidas, forçando mudanças na estrutura do mercado de TI e como ele será gerenciado avançando.,”Além disso, o SANS Institute publicou uma pesquisa de 700 profissionais de TI e segurança em dezembro de 2012 que descobriu que apenas 14% das empresas realizam avaliações de segurança em todas as aplicações comerciais trazidas para casa, e mais da metade das outras empresas não realizam avaliações de segurança. Em vez disso, as empresas ou dependem da reputação do vendedor (25%) e dos acordos de responsabilidade legal (14%) ou não têm quaisquer políticas para lidar com as camas e, por conseguinte, têm uma visibilidade limitada nos riscos introduzidos na sua cadeia de fornecimento de software pelas camas.,na indústria de dispositivos médicos, o software COTS pode por vezes ser identificado como sopa (software de ascendência desconhecida ou software de proveniência desconhecida), ou seja, software que não foi desenvolvido com um processo ou metodologia de desenvolvimento de software conhecido, o que exclui a sua utilização em dispositivos médicos. Nesta indústria, falhas em componentes de software podem tornar-se falhas de sistema no próprio dispositivo se as medidas não forem tomadas para garantir que padrões justos e seguros são cumpridos., A norma IEC 62304:2006 “Medical device software-Software life cycle processes” descreve práticas específicas para garantir que os Componentes da sopa suportam os requisitos de segurança para o dispositivo em desenvolvimento. No caso em que os componentes de software são COTS, as melhores práticas do DHS para COTS software risk review podem ser aplicadas. Simplesmente ser Software COTS não implica necessariamente a falta de um histórico de falhas ou processo transparente de desenvolvimento de software. Para software COTS bem documentado uma distinção como sopa clara é feita, o que significa que ele pode ser usado em dispositivos médicos.