Коммерческие готовые или коммерчески доступные готовые ( COTS ) продукты представляют собой упакованные или консервированные (готовые) аппаратные средства или программное обеспечение, которые адаптируются на вторичном рынке к потребностям закупающей организации, а не ввод в эксплуатацию индивидуальных или заказных решений. Связанный термин, Mil-COTS , относится к COTS продуктам для использования в вооруженных силах США.
В контексте правительства США Федеральный регламент закупок (FAR) определил «COTS» как формальный термин для коммерческих товаров, включая услуги, доступные на коммерческом рынке, которые могут быть куплены и использованы по государственному контракту. [1] Например, Microsoft является поставщиком программного обеспечения COTS. Товары и строительные материалы могут подпадать под категорию COTS, но насыпные грузы — нет. Услуги, связанные с коммерческими товарами, также могут подпадать под категорию COTS, включая услуги по установке, услуги по обучению и облачные сервисы. [2]
Закупки COTS являются альтернативой заказному программному обеспечению или разовым разработкам — финансируемым государством или иным образом.
Хотя продукты COTS могут использоваться из коробки, на практике продукт COTS должен быть настроен для удовлетворения потребностей бизнеса и интегрирован в существующие организационные системы. Расширение функциональности продуктов COTS посредством индивидуальной разработки также является вариантом, однако это решение следует тщательно обдумать из-за долгосрочных последствий поддержки и обслуживания. Такая настраиваемая функциональность не поддерживается поставщиком COTS, поэтому при обновлении продукта COTS возникают свои собственные проблемы.
Использование COTS является обязательным во многих государственных и коммерческих программах, поскольку такие продукты могут обеспечить значительную экономию при закупках, разработке и обслуживании.
Мотивациями использования готовых компонентов являются надежды на снижение затрат на весь срок службы системы.
В 1990-х годах многие считали COTS чрезвычайно эффективным средством сокращения времени и стоимости разработки программного обеспечения . [ требуется ссылка ] Программное обеспечение COTS имело множество не столь очевидных компромиссов — сокращение первоначальной стоимости и времени разработки за счет увеличения работы по интеграции компонентов программного обеспечения, зависимость от поставщика , проблемы безопасности и несовместимости из-за будущих изменений. [3]
COTS-программное обеспечение и услуги обычно создаются и поставляются сторонним поставщиком. COTS можно купить, взять в аренду или даже лицензировать для широкой публики.
COTS можно приобрести и использовать с меньшими затратами по сравнению с разработкой собственными силами, [ нужна ссылка ] и обеспечить более высокую надежность и качество по сравнению с заказным программным обеспечением, поскольку оно разрабатывается специалистами в отрасли и проверяется различными независимыми организациями, часто в течение длительного периода времени. [ нужна ссылка ]
По данным Министерства внутренней безопасности США , безопасность программного обеспечения является серьезным риском использования программного обеспечения COTS. Если программное обеспечение COTS содержит серьезные уязвимости безопасности, оно может внести значительный риск в цепочку поставок программного обеспечения организации . Риски усугубляются, когда программное обеспечение COTS интегрируется или объединяется в сеть с другими программными продуктами для создания нового составного приложения или системы систем. Составное приложение может наследовать риски от своих компонентов COTS. [4]
Министерство внутренней безопасности США спонсировало усилия по управлению проблемами кибербезопасности цепочки поставок , связанными с использованием COTS. Однако наблюдатели в сфере программного обеспечения, такие как Gartner и SANS Institute, указывают, что нарушение цепочки поставок представляет собой серьезную угрозу. Gartner прогнозирует, что «корпоративные цепочки поставок ИТ будут подвергаться нападкам и скомпрометированы, что приведет к изменениям в структуре рынка ИТ и способах управления ИТ в будущем». [5] Кроме того, в декабре 2012 года SANS Institute опубликовал опрос 700 специалистов по ИТ и безопасности, который показал, что только 14% компаний проводят проверки безопасности для каждого коммерческого приложения, поступающего в их компанию, а более половины других компаний не проводят оценки безопасности. Вместо этого компании либо полагаются на репутацию поставщика (25%) и соглашения о юридической ответственности (14%), либо у них вообще нет политик для работы с COTS, и поэтому они имеют ограниченную видимость рисков, вносимых COTS в их цепочку поставок программного обеспечения. [6]
В индустрии медицинских устройств программное обеспечение COTS иногда может быть идентифицировано как SOUP ( программное обеспечение неизвестной родословной или программное обеспечение неизвестного происхождения), т. е. программное обеспечение, которое не было разработано с использованием известного процесса или методологии разработки программного обеспечения , что исключает его использование в медицинских устройствах. [7] В этой отрасли сбои в компонентах программного обеспечения могут стать системными сбоями в самом устройстве, если не будут приняты меры для обеспечения соблюдения справедливых и безопасных стандартов. Стандарт IEC 62304:2006 «Программное обеспечение медицинских устройств – процессы жизненного цикла программного обеспечения» описывает конкретные практики для обеспечения того, чтобы компоненты SOUP поддерживали требования безопасности для разрабатываемого устройства. В случае, когда компоненты программного обеспечения являются COTS, могут применяться передовые практики DHS для анализа рисков программного обеспечения COTS. [4] Просто быть программным обеспечением COTS не обязательно означает отсутствие истории сбоев или прозрачного процесса разработки программного обеспечения. Для хорошо документированного программного обеспечения COTS проводится различие как чистое SOUP, что означает, что оно может использоваться в медицинских устройствах. [8] [9]
Ярким примером устаревания продукта являются кластеры PlayStation 3 , которые использовали Linux для работы. Sony отключила использование Linux на PS3 в апреле 2010 года, [10] не оставив возможности закупить работающие сменные блоки Linux . [11] В целом, устаревание продукта COTS может потребовать индивидуальной поддержки или разработки заменяющей системы. Такие проблемы устаревания привели к партнерству правительства и промышленности, где различные предприятия соглашаются стабилизировать некоторые версии продукта для использования правительством и планировать некоторые будущие функции в этих линейках продуктов в качестве совместных усилий. Следовательно, некоторые партнерства привели к жалобам на фаворитизм, к избеганию конкурентных практик закупок и к заявлениям об использовании соглашений о единственном источнике там, где это на самом деле не было необходимо.
Также существует опасность предварительной закупки многодесятилетнего запаса сменных деталей (и материалов), которые устареют в течение 10 лет. Все эти соображения приводят к сравнению простого решения (например, «бумага и карандаш»), чтобы избежать слишком сложных решений, создающих систему « Руба Голдберга » ползучего функционализма , тогда как простого решения было бы достаточно. [ необходимо разъяснение ] Такие сравнения также учитывают, создает ли группа систему-«накладку» для оправдания дополнительного финансирования, а не предоставляет недорогую систему, которая удовлетворяет основные потребности, независимо от использования готовых продуктов.
Применяя уроки устаревания процессоров, полученные во время Lockheed Martin F-22 Raptor , Lockheed Martin F-35 Lightning II запланировал модернизацию процессоров во время разработки и перешел на более широко поддерживаемый язык программирования C++. Они также перешли от ASIC к FPGA . Это перемещает большую часть авионики из фиксированных схем в программное обеспечение, которое может быть применено к будущим поколениям оборудования. [12]
Компоненты COTS являются частью модернизации гидролокаторов подводных лодок ВМС США. [13]