Commercial off-the-shelf o disponible en el mercado off-the-shelf [1] ( COTS ) los productos se envasan o software en lata que luego se adapta para satisfacer las necesidades de la organización de compras, en lugar de la puesta en marcha de la medida, o a medida , soluciones. Un término relacionado, Mil-COTS , se refiere a los productos COTS para uso de las fuerzas armadas de EE. UU. [2]
En el contexto del gobierno de los Estados Unidos , el Reglamento de Adquisiciones Federales (FAR) ha definido "COTS" como un término formal para los artículos comerciales, incluidos los servicios, disponibles en el mercado comercial que se pueden comprar y utilizar bajo contrato con el gobierno. Por ejemplo, Microsoft es un proveedor de software COTS. Los bienes y materiales de construcción pueden calificar como COTS, pero la carga a granel no. Los servicios asociados con los artículos comerciales también pueden calificar como COTS, incluidos los servicios de instalación, los servicios de capacitación y los servicios en la nube. [3]
Las compras de COTS son alternativas al software personalizado o desarrollos únicos, desarrollos financiados por el gobierno o de otro tipo.
Si bien los productos COTS se pueden usar listos para usar, en la práctica, el producto COTS debe configurarse para satisfacer las necesidades de la empresa e integrarse a los sistemas organizativos existentes. Extender la funcionalidad de los productos COTS a través del desarrollo personalizado también es una opción; sin embargo, esta decisión debe considerarse cuidadosamente debido a las implicaciones de soporte y mantenimiento a largo plazo. Esta funcionalidad personalizada no es compatible con el proveedor de COTS, por lo que presenta sus propios problemas al actualizar el producto COTS.
El uso de COTS ha sido obligatorio en muchos programas gubernamentales y comerciales, ya que dichos productos pueden ofrecer ahorros significativos en adquisiciones, desarrollo y mantenimiento.
Las motivaciones para usar componentes COTS incluyen la esperanza de reducir los costos de vida del sistema en su totalidad.
En la década de 1990, muchos consideraban que COTS era extremadamente eficaz para reducir el tiempo y el costo del desarrollo de software [ cita requerida ] . El software COTS vino con muchas compensaciones no tan obvias: una reducción en el costo inicial y el tiempo de desarrollo sobre un aumento en el trabajo de integración de componentes de software, dependencia del proveedor , problemas de seguridad e incompatibilidades de cambios futuros. [4]
Software y servicios
El software y los servicios comerciales listos para usar (COTS) se crean y se entregan generalmente a través de un proveedor externo. Las COTS se pueden comprar, alquilar o incluso licenciar al público en general.
Los COTS se pueden obtener y operar a un costo menor que el desarrollo interno [ cita requerida ] , y brindan mayor confiabilidad y calidad en comparación con el software personalizado, ya que estos son desarrollados por especialistas dentro de la industria y son validados por varias organizaciones independientes, a menudo sobre un período de tiempo prolongado. [ cita requerida ]
Implicaciones de seguridad
Según el Departamento de Seguridad Nacional de los Estados Unidos , la seguridad del software es un riesgo grave al usar el software COTS. Si el software COTS contiene vulnerabilidades de seguridad graves, puede introducir un riesgo significativo en la cadena de suministro de software de una organización. Los riesgos se agravan cuando el software COTS se integra o se conecta en red con otros productos de software para crear una nueva aplicación compuesta o un sistema de sistemas. La aplicación compuesta puede heredar riesgos de sus componentes COTS. [5]
El Departamento de Seguridad Nacional de EE. UU. Ha patrocinado esfuerzos para gestionar los problemas de seguridad cibernética de la cadena de suministro relacionados con el uso de COTS. Sin embargo, los observadores de la industria del software como Gartner y el Instituto SANS indican que la interrupción de la cadena de suministro representa una amenaza importante. Gartner predice que "las cadenas de suministro de TI empresariales serán dirigidas y comprometidas, lo que obligará a cambios en la estructura del mercado de TI y en cómo se administrará la TI en el futuro". [6] Además, el Instituto SANS publicó una encuesta a 700 profesionales de TI y seguridad en diciembre de 2012 que encontró que solo el 14% de las empresas realizan revisiones de seguridad en cada aplicación comercial que se incorporan, y más de la mitad de las otras empresas no realizan evaluaciones de seguridad. . En cambio, las empresas confían en la reputación del proveedor (25%) y los acuerdos de responsabilidad legal (14%) o no tienen políticas para tratar con COTS y, por lo tanto, tienen una visibilidad limitada de los riesgos introducidos en su cadena de suministro de software por COTS. [7]
Problemas en otras industrias
En la industria de dispositivos médicos , el software COTS a veces se puede identificar como SOUP ( software de pedigrí desconocido o software de procedencia desconocida), es decir, software que no ha sido desarrollado con un proceso o metodología de desarrollo de software conocido , lo que excluye su uso en dispositivos médicos. . [8] En esta industria, las fallas en los componentes del software podrían convertirse en fallas del sistema en el dispositivo mismo si no se toman las medidas necesarias para garantizar que se cumplan las normas justas y seguras. La norma IEC 62304: 2006 "Software de dispositivos médicos - Procesos del ciclo de vida del software" describe prácticas específicas para garantizar que los componentes SOUP cumplan con los requisitos de seguridad para el dispositivo que se está desarrollando. En el caso de que los componentes del software sean COTS, se pueden aplicar las mejores prácticas del DHS para la revisión de riesgos del software COTS. [5] El simple hecho de ser software COTS no implica necesariamente la falta de un historial de fallas o un proceso de desarrollo de software transparente. Para el software COTS bien documentado, se hace una distinción como SOPA clara , lo que significa que puede usarse en dispositivos médicos. [9] [10]
Obsolescencia
Un ejemplo sorprendente de obsolescencia de productos es el Condor Cluster , una supercomputadora de la Fuerza Aérea de los EE. UU. Construida con 1.760 PlayStation 3 de Sony que ejecutan el sistema operativo Linux. Sony desactivó el uso de Linux en la PS3 en abril de 2010, [11] sin dejar ningún medio para adquirir unidades de reemplazo de Linux que funcionen . [12] En general, la obsolescencia de los productos COTS puede requerir soporte personalizado o el desarrollo de un sistema de reemplazo. Tales problemas de obsolescencia han llevado a asociaciones entre el gobierno y la industria, donde varias empresas acuerdan estabilizar algunas versiones de productos para uso gubernamental y planificar algunas características futuras, en esas líneas de productos, como un esfuerzo conjunto. Por lo tanto, algunas asociaciones han dado lugar a quejas de favoritismo, a evitar prácticas de contratación competitivas y a reclamos sobre el uso de acuerdos de fuente única donde en realidad no es necesario.
También existe el peligro de precomprar un suministro de repuestos (y materiales) para varias décadas que se volvería obsoleto en 10 años. Todas estas consideraciones llevan a comparar una solución simple (como "papel y lápiz") para evitar soluciones demasiado complejas creando un sistema " Rube Goldberg " de características progresivas , donde una solución simple hubiera sido suficiente. [se necesita aclaración ] Estas comparaciones también consideran si un grupo está creando un sistema funcional para justificar la financiación adicional, en lugar de proporcionar un sistema de bajo costo que satisfaga las necesidades básicas, independientemente del uso de productos COTS.
Al aplicar las lecciones de la obsolescencia del procesador aprendidas durante el Lockheed Martin F-22 Raptor , el Lockheed Martin F-35 Lightning II planificó las actualizaciones del procesador durante el desarrollo y cambió al lenguaje de programación C ++ más ampliamente compatible. También se han movido de ASIC a FPGA. Esto mueve más el diseño de aviónica de los circuitos fijos al software que se puede aplicar a las generaciones futuras de hardware. [13]
Los componentes COTS son parte de las actualizaciones del sonar de los submarinos de la Armada de los Estados Unidos. [14]
Ver también
- Software comercial
- Productos básicos listos para usar
- Proveedor de software independiente
- Inventado aquí
- Llavero
- Estándar de proveedor de tecnología confiable abierto
Referencias
Citas
- ^ "2.101 Definitions", Regulaciones Federales de Adquisición de EE . UU. , Archivado desde el original el 30 de enero de 2017 , consultado el 1 de febrero de 2017
- ^ "¿Qué son las fuentes de alimentación Mil-COTS?" . Aegis Power Systems, Inc . Aegis Power Systems, Inc . Consultado el 21 de diciembre de 2015 .
- ^ "2.000 Alcance de la pieza" . Acquisition.gov. Archivado desde el original el 30 de enero de 2017 . Consultado el 2 de octubre de 2018 .
- ^ McKinney, Dorothy "Impacto del software y la tecnología comerciales listos para usar (COTS) en la ingeniería de sistemas" , Presentación a los capítulos de INCOSE , agosto de 2001. Consultado el 28 de enero de 2009.
- ^ a b Ellison, Bob; Woody, Carol (15 de marzo de 2010). "Gestión de riesgos de la cadena de suministro: incorporación de la seguridad en el desarrollo de software" . Departamento de Seguridad Nacional: Integre la seguridad . Consultado el 17 de diciembre de 2012 .
- ^ MacDonald, Neil; Valdés, Ray (5 de octubre de 2012). "Investigación inconformista: vivir en un mundo sin confianza" . Consultado el 17 de diciembre de 2012 .
- ^ Bird, Jim; Kim, Frank (diciembre de 2012). "Encuesta SANS sobre programas y prácticas de seguridad de aplicaciones" (PDF) . Consultado el 17 de diciembre de 2012 .
- ^ Hobbs, Chris (4 de enero de 2012). "Construir y validar la seguridad en el software de dispositivos médicos" . Diseño de Electrónica Médica . Consultado el 17 de diciembre de 2012 .
- ^ "Dispositivos médicos y tecnología" (PDF) . www.qnx.com . Consultado el 1 de abril de 2018 .
- ^ "Diseño médico - Diseño de máquinas" . medicaldesign.com . Consultado el 1 de abril de 2018 .
- ^ "Soporte de PlayStation®" . us.playstation.com . Consultado el 1 de abril de 2018 .
- ^ "La Fuerza Aérea de EE. UU. Sufre una migraña por la última actualización de PS3 de Sony" ( Archivado el 20 de agosto de 2012 en Wayback Machine )
- ^ "Cazas a reacción F-35 para llevar la aviónica integrada a un nivel completamente nuevo". Electrónica militar y aeroespacial , 1 de mayo de 2003.
- ^ "La Marina de los Estados Unidos selecciona a Lockheed Martin para las actualizaciones de la sonda submarina". ( Archivado el 18 de enero de 2011 en Wayback Machine )
Fuentes
- "Comercial" no es lo opuesto a Free-Libre / Open Source Software (FLOSS)