Comercial de prateleira - Commercial off-the-shelf

Produtos de prateleira comerciais ou de prateleira disponíveis comercialmente ( COTS ) são embalados ou enlatados (prontos) ou software, que são adaptados pós-venda às necessidades da organização de compras, ao invés do comissionamento de soluções feitas ou sob medida . Um termo relacionado, Mil-COTS , refere-se a produtos COTS para uso pelos militares dos EUA.

No contexto do governo dos EUA , o Regulamento de Aquisição Federal (FAR) definiu "COTS" como um termo formal para itens comerciais, incluindo serviços, disponíveis no mercado comercial que podem ser comprados e usados ​​sob contrato do governo. Por exemplo, a Microsoft é um fornecedor de software COTS. Bens e materiais de construção podem ser qualificados como COTS, mas a carga a granel não. Os serviços associados aos itens comerciais também podem ser qualificados como COTS, incluindo serviços de instalação, serviços de treinamento e serviços em nuvem.

As compras COTS são alternativas para software customizado ou desenvolvimentos únicos - desenvolvimentos financiados pelo governo ou outros.

Embora os produtos COTS possam ser usados ​​fora da caixa, na prática, o produto COTS deve ser configurado para atender às necessidades do negócio e integrado aos sistemas organizacionais existentes. Estender a funcionalidade dos produtos COTS por meio do desenvolvimento personalizado também é uma opção, no entanto, essa decisão deve ser cuidadosamente considerada devido às implicações de suporte e manutenção de longo prazo. Essa funcionalidade personalizada não é suportada pelo fornecedor COTS, portanto, traz seus próprios conjuntos de problemas ao atualizar o produto COTS.

O uso de COTS foi obrigatório em muitos programas governamentais e empresariais, pois esses produtos podem oferecer economias significativas em aquisições, desenvolvimento e manutenção.

As motivações para o uso de componentes COTS incluem a esperança de reduzir os custos do sistema de vida inteira.

Na década de 1990, muitos consideravam o COTS extremamente eficaz na redução do tempo e do custo de desenvolvimento de software . O software COTS veio com muitas desvantagens não tão óbvias - uma redução no custo inicial e no tempo de desenvolvimento em relação a um aumento no trabalho de integração de componentes de software, dependência do fornecedor , problemas de segurança e incompatibilidades de mudanças futuras.

Software e serviços

O software e os serviços comerciais prontos para uso (COTS) são desenvolvidos e fornecidos geralmente por um fornecedor terceirizado. COTS podem ser adquiridos, alugados ou mesmo licenciados para o público em geral.

COTS pode ser obtido e operado a um custo menor em relação ao desenvolvimento interno e fornecer maior confiabilidade e qualidade em relação ao software customizado, pois estes são desenvolvidos por especialistas da indústria e são validados por várias organizações independentes, muitas vezes por um longo período de Tempo.

Implicações de segurança

De acordo com o Departamento de Segurança Interna dos Estados Unidos , a segurança de software é um sério risco de usar software COTS. Se o software COTS contiver vulnerabilidades de segurança graves, ele pode apresentar um risco significativo à cadeia de suprimentos de software de uma organização. Os riscos aumentam quando o software COTS é integrado ou conectado em rede com outros produtos de software para criar um novo aplicativo composto ou um sistema de sistemas. O aplicativo composto pode herdar riscos de seus componentes COTS.

O Departamento de Segurança Interna dos Estados Unidos patrocinou esforços para gerenciar problemas de segurança cibernética da cadeia de suprimentos relacionados ao uso de COTS. No entanto, observadores da indústria de software, como o Gartner e o SANS Institute, indicam que a interrupção da cadeia de suprimentos representa uma grande ameaça. O Gartner prevê que "as cadeias de suprimentos de TI corporativa serão direcionadas e comprometidas, forçando mudanças na estrutura do mercado de TI e como a TI será gerenciada no futuro." Além disso, o SANS Institute publicou uma pesquisa com 700 profissionais de TI e segurança em dezembro de 2012, que descobriu que apenas 14% das empresas realizam análises de segurança em todos os aplicativos comerciais trazidos internamente, e mais da metade das outras empresas não realizam avaliações de segurança. Em vez disso, as empresas contam com a reputação do fornecedor (25%) e acordos de responsabilidade legal (14%) ou não têm políticas para lidar com COTS e, portanto, têm visibilidade limitada dos riscos introduzidos em sua cadeia de fornecimento de software por COTS.

Problemas em outras indústrias

Na indústria de dispositivos médicos , o software COTS pode às vezes ser identificado como SOPA ( software de linhagem desconhecida ou software de proveniência desconhecida), ou seja, software que não foi desenvolvido com um processo ou metodologia de desenvolvimento de software conhecido , o que impede seu uso em dispositivos médicos . Nesta indústria, falhas em componentes de software podem se tornar falhas de sistema no próprio dispositivo se as etapas não forem tomadas para garantir o cumprimento de padrões justos e seguros. A norma IEC 62304: 2006 "Software de dispositivo médico - Processos de ciclo de vida de software" descreve práticas específicas para garantir que os componentes SOUP suportem os requisitos de segurança para o dispositivo que está sendo desenvolvido. No caso em que os componentes de software são COTS, as melhores práticas do DHS para revisão de risco de software COTS podem ser aplicadas. Simplesmente ser um software COTS não significa necessariamente a falta de um histórico de falhas ou processo de desenvolvimento de software transparente. Para software COTS bem documentado, é feita uma distinção como SOPA clara , o que significa que pode ser usado em dispositivos médicos.

Obsolescência

Um exemplo notável de obsolescência do produto é o Condor Cluster , um supercomputador da Força Aérea dos Estados Unidos construído com 1.760 PlayStation 3 da Sony rodando o sistema operacional Linux. A Sony desabilitou o uso do Linux no PS3 em abril de 2010, não deixando meios para adquirir unidades de substituição do Linux em funcionamento . Em geral, a obsolescência do produto COTS pode exigir suporte personalizado ou o desenvolvimento de um sistema de substituição. Esses problemas de obsolescência levaram a parcerias governo-indústria, onde várias empresas concordam em estabilizar algumas versões de produtos para uso governamental e planejar alguns recursos futuros, nessas linhas de produtos, como um esforço conjunto. Conseqüentemente, algumas parcerias levaram a reclamações de favoritismo, para evitar práticas competitivas de aquisição e a reclamações de uso de contratos de fonte única onde não são realmente necessários.

Também existe o perigo de pré-compra de um suprimento de várias décadas de peças de reposição (e materiais) que se tornaria obsoleto em 10 anos. Todas essas considerações levam à comparação de uma solução simples (como "papel e lápis") para evitar soluções excessivamente complexas, criando um sistema " Rube Goldberg " de características progressivas , onde uma solução simples seria suficiente. Essas comparações também consideram se um grupo está criando um sistema improvisado para justificar o financiamento extra, em vez de fornecer um sistema de baixo custo que atenda às necessidades básicas, independentemente do uso de produtos COTS.

Aplicando as lições de obsolescência do processador aprendidas durante o Lockheed Martin F-22 Raptor , o Lockheed Martin F-35 Lightning II planejou atualizações de processador durante o desenvolvimento e mudou para a linguagem de programação C ++ mais amplamente suportada. Eles também mudaram de ASICs para FPGAs. Isso move mais o design aviônico de circuitos fixos para software que pode ser aplicado a futuras gerações de hardware.

Os componentes COTS fazem parte das atualizações do sonar dos submarinos da Marinha dos Estados Unidos.

Veja também

Referências

Citações

Origens