Đối với các mục đích nêu ở 7.4.1, sản phẩm phần mềm tự do (chẳng hạn các công cụ phát triển nguồn mở), cần được xem là dạng phải mua.
Trong phát triển, cung cấp, cài đặt và bảo trì các sản phẩm phần mềm, các dạng sản phẩm được mua có thể gồm:
a) Các phần mềm thương mại làm sẵn để bán (COTS) hay các phần mềm dùng chung (Những phần mềm có bản quyền, mọi người đều sử dụng được nếu có cơ sở pháp lý và có chi trả một khoản lệ phí cho tác giả của phần mềm đó-ND);
b) Phần mềm và các dịch vụ mang tính riêng biệt theo nghĩa phù hợp với đặt hàng; c) Những kết quả phát triển được thực hiện qua hợp đồng phụ;
d) Những hoạt động sử dụng nguồn lực bên ngồi (ví dụ kiểm tra, kiểm tra xác nhận và xác nhận giá trị sử dụng độc lập, quản lý trang thiết bị dụng cụ);
e) Các công cụ dùng trợ giúp trong việc phát triển phần mềm (ví dụ các cơng cụ để quản lý cấu hình hay quản lý thiết kế và phát triển, những cơng cụ phân tích mã, các bộ gỡ lỗi - một trình tiện ích, thường có trong các chương trình thơng dịch hoặc biên dịch, nhằm giúp cho lập trình viên có thể tìm và sửa các lỗi cú pháp và các lỗi khác trong mã nguồn - ND, các bộ phân tích thử nghiệm, các bộ tạo nguồn, các trình biên dịch);
f) Máy tính và phần mềm để trao đổi các thông tin;
g) Các cấu thành cơ bản (ví dụ các mạch tích hợp có thể là đối tượng bị thay đổi hoặc không đảm bảo được cho tính liên tục khả dụng);
h) Người sử dụng và việc lập tài liệu của sản phẩm; i) Các khóa và các tài liệu đào tạo.
Hình thức và mức độ mà tổ chức cần kiểm soát người cung cấp thực hiện việc thiết kế và phát triển theo dạng hợp đồng phụ (ví dụ trong các dự án dạng đồng thực hiện) sẽ trở thành đặc biệt quan trọng trong lựa chọn nhà cung cấp bởi vì, đơi khi tính tin cậy trong mối quan hệ lại có thể gây ảnh hưởng nghiêm trọng cho sự thành công của sự tiến triển.
Trong phát triển, cung cấp, cài đặt và bảo trì các sản phẩm phần mềm, đối với các sản phẩm được mua, có thể địi hỏi tổ chức cần cân nhắc việc quản lý các rủi ro liên quan việc cấp giấy phép, bảo trì, trợ giúp trực tuyến và các dịch vụ hỗ trợ khách hàng (chẳng hạn việc ln có sẵn hoạt động hỗ trợ cho sản phẩm đã được mua cho dù nó được chuyển giao muộn). Một cách để xác định năng lực của các nhà cung cấp tạo được sản phẩm phần mềm có khả năng được nghiệm thu là dựa vào việc tiến hành đánh giá quá trình. Việc đánh giá q trình nêu các thơng tin cho việc đánh giá rủi ro và xem xét lại mức độ thuần thục, năng lực trong các quá trình của nhà cung cấp