Securitate implicationsEdit

Potrivit United States Department of Homeland Security, software-ul de securitate este un risc serios de a utiliza software COTS. Dacă software-ul COTS conține vulnerabilități severe de securitate, acesta poate introduce un risc semnificativ în lanțul de aprovizionare cu software al unei organizații. Riscurile sunt agravate atunci când software-ul COTS este integrat sau conectat în rețea cu alte produse software pentru a crea o nouă aplicație compusă sau un sistem de sisteme. Aplicația compusă poate moșteni riscuri din componentele sale COTS.,departamentul de Securitate Internă al SUA a sponsorizat eforturile de gestionare a problemelor de securitate cibernetică a lanțului de aprovizionare legate de utilizarea COTS. Cu toate acestea, observatorii industriei software, precum Gartner și Institutul SANS, indică faptul că întreruperea lanțului de aprovizionare reprezintă o amenințare majoră. Gartner prezice că ” lanțurile de aprovizionare it ale întreprinderilor vor fi vizate și compromise, forțând schimbări în structura pieței IT și modul în care aceasta va fi gestionată înainte.,”De asemenea, Institutul SANS a publicat un sondaj la 700 de profesioniști IT și securitate în decembrie 2012 care a constatat că doar 14% dintre companii efectuează evaluări de securitate la fiecare aplicație comercială adusă în casă, iar peste jumătate din alte companii nu efectuează evaluări de securitate. În schimb, companiile se bazează fie pe reputația furnizorilor (25%) și pe acordurile de răspundere juridică (14%), fie nu au nicio politică pentru tratarea COTS și, prin urmare, au o vizibilitate limitată asupra riscurilor introduse în lanțul lor de aprovizionare cu software de către COTS.,în industria dispozitivelor medicale, software-ul COTS poate fi uneori identificat ca SOUP (software cu pedigree necunoscut sau software de proveniență necunoscută), adică software care nu a fost dezvoltat cu un proces sau metodologie cunoscută de dezvoltare a software-ului, care împiedică utilizarea acestuia în dispozitivele medicale. În această industrie, defecțiunile componentelor software ar putea deveni defecțiuni ale sistemului în dispozitivul în sine dacă nu se iau măsuri pentru a asigura respectarea standardelor corecte și sigure., Standardul IEC 62304:2006 „software – ul dispozitivului Medical-procesele ciclului de viață al Software-ului” prezintă practici specifice pentru a se asigura că componentele SOUP acceptă cerințele de siguranță pentru dispozitivul dezvoltat. În cazul în care componentele software sunt COTS, se pot aplica cele mai bune practici DHS pentru evaluarea riscului software COTS. Pur și simplu a fi software COTS nu implică neapărat lipsa unui istoric de erori sau a unui proces transparent de dezvoltare a software-ului. Pentru software-ul COTS bine documentat, se face o distincție clară, ceea ce înseamnă că poate fi utilizat în dispozitivele medicale.