Alcune aziende costruiscono il proprio software. Altri esternalizzano lo sviluppo del software assumendo appaltatori o altre società per creare software di cui hanno bisogno.
Quando abbiamo bisogno di costruire un nuovo software personalizzato, ci sono prove che la scelta di sviluppare internamente o in outsourcing lo sviluppo di software abbia un effetto sulla sicurezza? A parità di altre condizioni, lo sviluppo interno tende a portare a software più sicuro rispetto all'assunzione di terze parti per lo sviluppo del software?
Si potrebbe ipotizzare che forse lo sviluppo di software in outsourcing rischia di portare a software non sicuro, a parità di tutti gli altri. Forse quando sviluppi in-house, sei il proprietario del rischio, quindi gli sviluppatori sono incentivati in modo appropriato a renderlo sicuro come deve essere - ma forse quando si esternalizzano a terzi, poiché la terza parte non gestisce il software e non sopporta alcun rischio durante l'operazione, forse lo sviluppatore di terze parti non è sufficientemente incentivato a utilizzare buone pratiche di sviluppo della sicurezza e forse è più probabile che si ottenga una scarsa sicurezza (poiché ciò riduce i costi di terze parti ). O, piuttosto, si potrebbe temere che ci potrebbe essere qualche effetto come questo. Ma è davvero quello che succede? C'è qualche prova in un modo o nell'altro? O c'è qualche esperienza generale o saggezza convenzionale da parte dell'industria riguardo l'effetto sulla sicurezza dell'outsourcing rispetto allo sviluppo interno?
Penso soprattutto a un'agenzia governativa che deve prendere questa decisione, ma immagino che la domanda sia generalmente applicabile.