Готовый коммерческий вариант
Коммерчески готовые или коммерчески доступные готовые продукты ( COTS ) представляют собой упакованные или консервированные (готовые) аппаратные средства или программное обеспечение, которые на вторичном рынке адаптируются к потребностям закупочной организации, а не к вводу в эксплуатацию индивидуального оборудования. индивидуальные или индивидуальные решения. Родственный термин Mil-COTS относится к продуктам COTS, предназначенным для использования военными США.
В контексте правительства США Положение о федеральных закупках (FAR) определило «COTS» как формальный термин для коммерческих товаров, включая услуги, доступные на коммерческом рынке, которые можно покупать и использовать по государственному контракту. [1] Например, Microsoft является поставщиком программного обеспечения COTS. Товары и строительные материалы могут квалифицироваться как COTS, а сыпучие грузы — нет. Услуги, связанные с коммерческими продуктами, также могут квалифицироваться как COTS, включая услуги по установке, услуги по обучению и облачные услуги. [2]
Приобретение COTS является альтернативой специальному программному обеспечению или разовым разработкам – разработкам, финансируемым государством или иным образом.
Хотя продукты COTS можно использовать «из коробки», на практике продукт COTS должен быть настроен для удовлетворения потребностей бизнеса и интегрирован в существующие организационные системы. Расширение функциональности продуктов COTS посредством индивидуальной разработки также является вариантом, однако это решение следует тщательно обдумать из-за последствий долгосрочной поддержки и обслуживания. Такая настраиваемая функциональность не поддерживается поставщиком COTS, поэтому при обновлении продукта COTS возникают свои проблемы.
Использование COTS обязательно во многих правительственных и деловых программах, поскольку такие продукты могут обеспечить значительную экономию на закупках, разработке и обслуживании.
Мотивами использования компонентов COTS являются надежды на снижение стоимости всей жизни системы.
В 1990-е годы многие считали COTS чрезвычайно эффективным средством сокращения времени и стоимости разработки программного обеспечения . [ нужна ссылка ] Программное обеспечение COTS имело множество не столь очевидных компромиссов — сокращение первоначальных затрат и времени разработки за счет увеличения объема работы по интеграции программных компонентов, зависимости от поставщика , проблем безопасности и несовместимости из-за будущих изменений. [3]
Программное обеспечение и услуги
[ редактировать ]Программное обеспечение и услуги COTS обычно создаются и поставляются сторонним поставщиком. COTS можно приобрести, сдать в аренду или даже лицензировать для широкой публики.
COTS можно получить и использовать с меньшими затратами по сравнению с собственной разработкой. [ нужна ссылка ] и обеспечить повышенную надежность и качество по сравнению с программным обеспечением, созданным по индивидуальному заказу, поскольку оно разрабатывается специалистами в отрасли и проверяется различными независимыми организациями, часто в течение длительного периода времени. [ нужна ссылка ]
Последствия для безопасности
[ редактировать ]По данным Министерства внутренней безопасности США , безопасность программного обеспечения представляет собой серьезный риск при использовании программного обеспечения COTS. организации Если программное обеспечение COTS содержит серьезные уязвимости безопасности, оно может создать значительный риск для цепочки поставок программного обеспечения . Риски усугубляются, когда программное обеспечение COTS интегрируется или объединяется в сеть с другими программными продуктами для создания нового составного приложения или системы систем. Составное приложение может наследовать риски от своих COTS-компонентов. [4]
Министерство внутренней безопасности США спонсирует усилия по решению проблем кибербезопасности цепочки поставок, связанных с использованием COTS. Однако обозреватели отрасли программного обеспечения, такие как Gartner и Институт SANS, отмечают, что нарушение цепочки поставок представляет собой серьезную угрозу. Gartner прогнозирует, что «корпоративные цепочки поставок ИТ будут атакованы и скомпрометированы, что приведет к изменениям в структуре рынка ИТ и способах управления ИТ в будущем». [5] Кроме того, в декабре 2012 года институт SANS опубликовал опрос 700 специалистов в области ИТ и безопасности, который показал, что только 14% компаний проводят проверки безопасности каждого коммерческого приложения, привезенного домой, и более половины других компаний не проводят оценки безопасности. Вместо этого компании либо полагаются на репутацию поставщика (25 %) и соглашения о юридической ответственности (14 %), либо у них вообще нет политики по работе с COTS, и поэтому они имеют ограниченное представление о рисках, которые COTS привносят в их цепочку поставок программного обеспечения. [6]
Проблемы в других отраслях
[ редактировать ]В индустрии медицинского оборудования программное обеспечение COTS иногда можно идентифицировать как SOUP ( программное обеспечение неизвестного происхождения или программное обеспечение неизвестного происхождения), т. е. программное обеспечение, которое не было разработано с использованием известного процесса или методологии разработки программного обеспечения , что исключает его использование в медицинских устройствах. . [7] В этой отрасли сбои в компонентах программного обеспечения могут привести к системным сбоям в самом устройстве, если не будут приняты меры для обеспечения соблюдения справедливых и безопасных стандартов. Стандарт IEC 62304:2006 «Программное обеспечение медицинских устройств. Процессы жизненного цикла программного обеспечения» описывает конкретные методы, обеспечивающие соответствие компонентов SOUP требованиям безопасности для разрабатываемого устройства. В случае, когда компоненты программного обеспечения являются COTS, можно применить передовой опыт DHS по анализу рисков программного обеспечения COTS. [4] Быть COTS-программным обеспечением не обязательно означает отсутствие истории ошибок или прозрачного процесса разработки программного обеспечения. различие в виде четкого SOUP, что означает, что его можно использовать в медицинских устройствах. Для хорошо документированного программного обеспечения COTS проводится [8] [9]
Устаревание
[ редактировать ]Ярким примером устаревания продукта являются кластеры PlayStation 3 , для работы которых использовался Linux. Sony отключила использование Linux на PS3 в апреле 2010 года. [10] не оставляя средств для приобретения работоспособных сменных модулей Linux . [11] В целом, устаревание продукта COTS может потребовать индивидуальной поддержки или разработки системы замены. Такие проблемы устаревания привели к партнерству правительства и промышленности, когда различные предприятия соглашаются стабилизировать некоторые версии продуктов для использования правительством и планировать некоторые будущие функции в этих линейках продуктов совместными усилиями. Таким образом, некоторые партнерства привели к жалобам на фаворитизм, к отказу от конкурентной практики закупок и к заявлениям об использовании соглашений с единственным поставщиком там, где это действительно не необходимо.
Существует также опасность предварительной закупки запасных частей (и материалов) на несколько десятилетий, которые устареют в течение 10 лет. Все эти соображения приводят к сравнению простого решения (например, «бумага и карандаш»), чтобы избежать чрезмерно сложных решений, создающих « Руба Голдберга » систему ползущего фичеризма , где вместо этого было бы достаточно простого решения. [ нужны разъяснения ] При таких сравнениях также учитывается, создает ли группа временную систему, чтобы оправдать дополнительное финансирование, вместо того, чтобы предоставлять недорогую систему, отвечающую основным потребностям, независимо от использования COTS-продуктов.
Применяя уроки устаревания процессоров, полученные во время разработки Lockheed Martin F-22 Raptor , Lockheed Martin F-35 Lightning II планировал модернизировать процессор во время разработки и перешел на более широко поддерживаемый язык программирования C++. Они также перешли от ASIC к FPGA . Это перемещает большую часть конструкции авионики от фиксированных схем к программному обеспечению, которое может быть применено к будущим поколениям аппаратного обеспечения. [12]
Компоненты COTS являются частью модернизации гидролокатора подводных лодок ВМС США. [13]
См. также
[ редактировать ]- Коммерческое программное обеспечение
- Готовый товар
- Готовое правительство
- Неразвивающий предмет
- Хост-система безопасности
- Независимый поставщик программного обеспечения
- Придумано здесь
- Открытый стандарт поставщика доверенных технологий
- Turnkey
Ссылки
[ редактировать ]Цитаты
[ редактировать ]- ^ «2.101 Определения», Федеральные правила закупок США , получено 22 июня 2022 г.
- ^ «Объем детали 2.000» . Acquisition.gov. Архивировано из оригинала 30 января 2017 г. Проверено 02 октября 2018 г.
- ^ МакКинни, Дороти «Влияние готового коммерческого программного обеспечения и технологий (COTS) на системную инженерию». Архивировано 31 июля 2020 г. в Wayback Machine , презентация для INCOSE глав , август 2001 г., по состоянию на 28 января 2009 г.
- ^ Jump up to: а б Эллисон, Боб; Вуди, Кэрол (15 марта 2010 г.). «Управление рисками в цепочке поставок: включение безопасности в разработку программного обеспечения» . Министерство внутренней безопасности: Укрепите безопасность в . Архивировано из оригинала 18 февраля 2013 г. Проверено 17 декабря 2012 г.
- ^ Макдональд, Нил; Вальдес, Рэй (5 октября 2012 г.). «Исследование Maverick: жизнь в мире без доверия» . Проверено 17 декабря 2012 г.
- ^ Берд, Джим; Ким, Фрэнк (декабрь 2012 г.). «Опрос SANS по программам и практикам безопасности приложений» (PDF) . Проверено 17 декабря 2012 г.
- ^ Хоббс, Крис (4 января 2012 г.). «Создание и проверка безопасности программного обеспечения медицинского оборудования» . Проектирование медицинской электроники . Проверено 17 декабря 2012 г.
- ^ «Медицинские приборы и технологии» (PDF) . www.qnx.com . Проверено 1 апреля 2018 г.
- ^ «Медицинский дизайн – машиностроение» . www.mededdesign.com . Проверено 1 апреля 2018 г.
- ^ «Поддержка PlayStation» . us.playstation.com . Проверено 1 апреля 2018 г.
- ^ «ВВС США страдают мигренью от последнего обновления Sony для PS3» ( архивировано 20 августа 2012 г., в Wayback Machine )
- ^ «Реактивные истребители F-35 выведут интегрированную авионику на совершенно новый уровень». Военная и аэрокосмическая электроника , 1 мая 2003 г.
- ^ «ВМС США выбирают Lockheed Martin для модернизации гидролокатора подводных лодок». ( Архивировано 18 января 2011 г. в Wayback Machine )