상용 기성품: 두 판 사이의 차이

크기가 바뀐 것이 없음 ,  1년 전
편집 요약 없음
잔글 (봇: 문단 이름 변경 (함께 보기 → 같이 보기))
편집 요약 없음
[[미국 국토안보부|미국 국토안보부]]에 따르면 소프트웨어 보안이 COTS 소프트웨어를 사용하는데 가장 큰 위험요소이다. 심각한 보안 취약성이 있는 COTS 소프트웨어가 기관의 소프트웨어 공급 사슬을 통해 공급되면 큰 위험이 발생할 수 있다. 새로운 조합의 응응 프로그램이나 여러 시스템을 통합한 시스템을 만들기 위하여, COTS 소프트웨어를 다른 소프트웨어 상품들과 통합하거나 연계(network)하면 여러 위험 요소가 혼재하게 된다. 복합된 응용 프로그램은 개별 COTS 컴포넌트의 위험을 그대로 가질 수 있다.<ref name="buildsecurity-ellison">{{웹 인용|url=https://buildsecurityin.us-cert.gov/bsi/articles/best-practices/acquisition/1140-BSI.html |title=Supply-Chain Risk Management: Incorporating Security into Software Development |work=Department of Homeland Security: Build Security In |last=Ellison |first=Bob |last2=Woody |first2=Carol |date=2010-03-15 |accessdate=2012-12-17}}</ref>
 
미국 국토안보부은국토안보부는 COTS를 사용과 관련하여 공급 사슬의 사이버 보안 문제 관리 노력에 지원을 하고 있다. 하지만 [[가트너|가트너]]나 SANS Institute와 같은 소프트웨어 산업 참관사들은 공급 사슬 붕괴가 주요 위험이라고 지적하고 있다. 가트너는 "기업 IT 공급 사슬이 위태로와질 것이다. IT 시장 구조와 IT를 관리에 대한 변화가 생길 것이다.고 예측한다.<ref name="gartner">{{웹 인용|url=http://www.gartner.com/id=2188715 |title=Maverick Research: Living in a World Without Trust |last=MacDonald |first=Neil |last2=Valdes |first2=Ray |date=2012-10-05 |accessdate=2012-12-17}}</ref> 또한 SANS Institute는 2012년 12월에 700개의 IT와 보안 전문가들에 대한 여론 조사를 결과를 발표하였다. 이에 따르면, 14%의 회사만이 내부에서 구매한 모든 상업 응용 프로그램에 대한 보안 리뷰를 하고 있으며, 절반이 넘는 회사는 보안 평가를 하지 않는다. 대신 업체의 평판이나(25%) 법적 책임 계약(14%)에 의존하거나 COTS에 대한 정책이 없어 소프트웨어 공급 사슬로 부터 발생할 수 있는 위험에 대해 제대로 인지하지 못하고 있다.<ref name="sans">{{웹 인용|url=http://www.sans.org/reading_room/analysts_program/sans_survey_appsec.pdf |title=SANS Survey on Application Security Programs and Practices |last=Bird |first=Jim |last2=Kim |first2=Frank |date=December 2012 |accessdate=2012-12-17}}</ref>
 
===다른 산업에서의 문제점===