开源组件审计在并购交易中的意义与价值

2018-09-12 12:59 次阅读

作者: 黑鸭按需审计部门市场营销总监Shandra Gemmiti

注:美国新思科技公司 (Synopsys, Nasdaq: SNPS)已经于2017年第四季度完成对黑鸭子软件公司(Black Duck Software)的收购。

为了对抗日渐猖獗的网络攻击,各大公司在安全领域的投资也随之持续增加,包括并购其它有相应技术和软件的公司。然而,并购双方的产品或者产品使用的第三方开源组件是否是安全的,在完成交易之前都需要深度评估。

开源无处不在。研究人员发现开源组件的使用多年来一直处于增长的状态。由于开源现在如此普及,他们越来越关注构建在开源组件基础上的应用程序的安全性。除了手动跟踪开源组件的使用,企业只能通过软件组件分析(SCA)工具以确定其代码库中的开源组件。调研机构451 Research公司将软件组件分析定义为“对已经内置到应用程序中的库的识别,并且这个库主要用的是第三方开源组件”。此识别功能可帮助企业发现未修补的代码,许可问题以及由于使用开源而可能存在于代码库中的潜在安全漏洞。

开源组件审计在并购交易中的意义与价值

为什么要使用软件组件分析?

软件组件分析最常见的用途是公司用来监控和识别自己使用的开源组件和框架。但经过详细研究和案例收集,451 Research发现,软件组件分析主要用途是在兼并和收购(M&A)领域。

很多初创公司会迅速将新应用推向市场,他们使用越来越多的开源组件。因此,在并购交易中,收购方要承担软件安全性的责任,由于开源管理仍然相对不成熟,他们需要借助工具分析被收购方的产品潜在的风险以及这些代码库中的知识产权。

开源组件审计在并购交易中的意义与价值

清楚了解在企业应用程序中开源组件的使用

有很多统计数据显示在典型软件应用程序中有多少开源组件。但是,这些数据可能并不全面,会产生误解。为了更清楚地了解企业使用开源组件的增长趋势,我们应该考虑新应用程序中开源的百分比。

新思科技公司发布的《2018 年开源代码安全和风险分析》(OSSRA)报告指出平均每个代码库由57%的开源组件。该报告分析了2017年经过审计的1,100多个商业代码库中的匿名数据。这就意味着我们扫描的每个代码库中有一半以上是由开源组件组成的。值得一提的是,黑鸭开源审计重要的案例包括并购交易的尽职调查。有鉴于此,OSSRA报告中的数据可以成为并购交易中开源趋势的关键参考。

开源组件审计在并购交易中的意义与价值

更快交付软件产品意味着更多的开源组件

正如451 Research在其简报中指出的那样,应用程序需要更快推出市场,迭代更加频繁,这种趋势将持续下去。在这些应用程序中使用开源组件已经屡见不鲜。现在的开发人员在软件开发生命周期的任何阶段都可以方便地使用到第三方编写好的免费代码, 可以尽快交付软件成品。

然而这种趋势在并购交易中会有双重的担忧:公司必须了解他们并购回来的软件中使用了哪些开源组件及其数量,以评估是否存在知识产权风险;另外,他们必须了解交易前的风险状况,以保护投资回报率,并计算交易后所需的补救成本。

OSSRA报告显示了:

96%被扫描的应用中存在开源组件,每个应用中平均有 257个开源组件

2017年经过审计的代码库中有85%存在许可证冲突或者未知许可证

78% 被检查的代码库中至少包含一个漏洞,每个代码库平均包含 64个已知漏洞

安全漏洞产生的实际成本

举个例子会更加清楚这一点。想象一下,有家公司在收购Equifax,但是没有进行开源检测,那后果会怎样?Equifax由于安全漏洞问题导致了超过1.4亿人的个人数据遭到泄露,这已经不是什么秘密。这是由于Apache Struts框架中未修补的开源漏洞造成的后果。到目前为止,这个安全漏洞已经让Equifax蒙受超过4亿美元的损失,并且负面影响远不止于此。现在,我们再大胆想象一下: GDPR(《通用数据保护条例》)生效后,如果欧洲发生这种情况怎么办?那么这次收购对投资回报率会有怎么样的影响?

黑鸭子软件和451 Research公司的研究都一致指出:开源的增长势头在短时间内不会放缓。因此,并购方评估所收购的软件是否安全的难度加大,在全面了解投资风险上也面临更大的挑战。

收藏 人收藏
分享:

评论

相关推荐

新思科技携手IBM,通过DTCO创新加速后FinFET工艺开发

采用新思科技Sentaurus、Process Explorer、StarRC、SiliconSma....

的头像 人间烟火123 发表于 09-21 11:53 830次 阅读
新思科技携手IBM,通过DTCO创新加速后FinFET工艺开发

新思科技发布ClearView芯片和VR Bridge产品

据外媒报道,新思科技(Synaptics)发布新版ClearView显示器驱动芯片,该款经优化的部件....

的头像 罗欣 发表于 09-19 11:07 339次 阅读
新思科技发布ClearView芯片和VR Bridge产品

Check Point携新云安全解决方案亮相云栖大会 助力企业防御第五代网络攻击

2018杭州云栖大会将于9月19日在杭州云栖小镇拉开帷幕,全球专注于安全的解决方案提供商Check ....

的头像 人间烟火123 发表于 09-17 15:14 1196次 阅读
Check Point携新云安全解决方案亮相云栖大会 助力企业防御第五代网络攻击

新思科技凭借突破性机器学习技术将形式属性验证性能提高10倍

新思科技宣布,推出一种基于人工智能(AI)的最新形式验证应用,即回归模式加速器。作为新思科技VC F....

的头像 人间烟火123 发表于 09-06 11:13 1261次 阅读
新思科技凭借突破性机器学习技术将形式属性验证性能提高10倍

如何做到更有效的安全防护成为金融服务机构的关注点

近年来,得益于云计算、大数据、人工智能、区块链等技术的发展,金融服务也更加多样、便利及智能。与此同时....

的头像 人间烟火123 发表于 08-29 11:47 923次 阅读
如何做到更有效的安全防护成为金融服务机构的关注点

新思科技亮相2018中国智博会 推出汽车电子智能化解决新方案

新思科技宣布,受邀参加于2018年8月23日至25日在重庆国际博览中心举办的“2018中国国际智能产....

的头像 人间烟火123 发表于 08-27 08:48 1352次 阅读
新思科技亮相2018中国智博会 推出汽车电子智能化解决新方案

新思科技:全方位服务中国IC企业,承接高端技术研发

我们很少看到一家外资企业在中国本土建设自己的全球研发中心,这是因为固定资产运作起来耗时费力,而外企....

发表于 08-25 09:29 269次 阅读
新思科技:全方位服务中国IC企业,承接高端技术研发

博思艾伦获10亿美元合同,成美国政府最大网络安全提供商

2018年8月22日,Struts2 官方公布最新的 Struts2 远程代码执行漏洞 S2-057....

的头像 E安全 发表于 08-24 14:34 1781次 阅读
博思艾伦获10亿美元合同,成美国政府最大网络安全提供商

中国集成电路产业人才白皮书发布 产业人才平均月薪仅9千

日前,中国电子信息产业发展研究院(CCID)和工业和信息化部软件与集成电路促进中心(CSIP)联合中....

的头像 章鹰 发表于 08-20 08:45 4316次 阅读
中国集成电路产业人才白皮书发布 产业人才平均月薪仅9千

新思科技助力《中国集成电路产业人才白皮书(2017-2018)》成功发布

中国电子信息产业发展研究院(CCID)和工业和信息化部软件与集成电路促进中心(CSIP)联合中国国际....

的头像 罗欣 发表于 08-17 17:10 982次 阅读
新思科技助力《中国集成电路产业人才白皮书(2017-2018)》成功发布

新思科技正式发布《中国集成电路产业人才白皮书(2017-2018)》

新思科技宣布,中国电子信息产业发展研究院(CCID)和工业和信息化部软件与集成电路促进中心(CSIP....

的头像 人间烟火123 发表于 08-17 16:00 2289次 阅读
新思科技正式发布《中国集成电路产业人才白皮书(2017-2018)》

网络攻击扩大恐怖主义影响,更“方便”国家较量

2018年1月4号,卡耐基国际和平基金会发表了一份报告,报告将伊朗描述为“第三级网络威胁”。

的头像 E安全 发表于 08-14 10:33 828次 阅读
网络攻击扩大恐怖主义影响,更“方便”国家较量

新思科技调查:67%企业缺乏熟练的专业人才或培训 阻碍软件安全计划的实施进展

 如果要开发软件,就必须拥有软件安全计划 (SSI)。实施SSI 可以尽可能地防止安全缺陷进入到生产....

的头像 人间烟火123 发表于 08-13 12:28 1179次 阅读
新思科技调查:67%企业缺乏熟练的专业人才或培训 阻碍软件安全计划的实施进展

新思科技海外首次投资建设的武汉全球研发中心顺利封顶19年建成投用

新思科技武汉全球研发中心座落于武汉东湖新技术开发区,是新思科技在海外首次投资建设的顶级研发中心,预计....

发表于 08-02 17:29 232次 阅读
新思科技海外首次投资建设的武汉全球研发中心顺利封顶19年建成投用

Arm最新高级移动平台,成功实现了SoC流片

新思科技设计事业部全球总经理Deirdre Hanford表示:“Arm与新思科技的早期和深入合作为....

发表于 07-28 11:17 216次 阅读
Arm最新高级移动平台,成功实现了SoC流片

新思科技助力包括Cortex-A76和Mali-G76处理器在内的Arm最新高级移动IP的早期使用者实现成功流片

DesignWare Interface IP包括USB、DDR、PCI Express、MIPI和....

的头像 人间烟火123 发表于 07-26 15:21 1577次 阅读
新思科技助力包括Cortex-A76和Mali-G76处理器在内的Arm最新高级移动IP的早期使用者实现成功流片

新思科技Synphony HLS解决方案

新思科技公司高层级综合法和系统级别营销总监Chris Eddington介绍说,Synphony H....

发表于 07-19 15:40 130次 阅读
新思科技Synphony HLS解决方案

新思科技Custom Design Platform获批三星7LPP工艺技术认证

· 新思科技Custom Design Platform为三星7LPP工艺技术提供经认证的工具、PD....

的头像 人间烟火123 发表于 07-18 11:46 2372次 阅读
新思科技Custom Design Platform获批三星7LPP工艺技术认证

API或成为网络攻击最新技术点

事实上,网络罪犯们早已开始盘算利用API执行攻击了。Panera Bread 数据泄露事件就是其中一....

发表于 07-07 10:44 220次 阅读
API或成为网络攻击最新技术点

新思科技Fusion技术助力三星7LPP EUV工艺降低功耗、缩小面积并提高性能

新思科技设计事业部营销与商务开发副总裁Michael Jackson表示:“我们与三星的工具和参考流....

的头像 章鹰 发表于 07-05 14:15 1281次 阅读
新思科技Fusion技术助力三星7LPP EUV工艺降低功耗、缩小面积并提高性能

新思科技公司宣布集成化混合原型验证解决方案

通过对新设计的功能使用Virtualizer虚拟原型技术和对重用逻辑使用基于FPGA的HAPS原型技....

发表于 07-02 11:50 321次 阅读
新思科技公司宣布集成化混合原型验证解决方案

新一代SoC FPGA提供系统可信根,防止关键数据受到网络攻击

物联网(IoT)的规模和复杂性不断上升,对主动的强化安全措施的需求日益增加。仅利用软件安全功能已经不....

发表于 06-27 08:31 203次 阅读
新一代SoC FPGA提供系统可信根,防止关键数据受到网络攻击

AI芯片市场将爆发至近200亿美元 市场蛋糕如何争夺

AI计算正处于爆发增长期,国际权威基金评级机构Morningstar预测,2021年全球AI芯片市场....

的头像 章鹰 发表于 06-25 11:02 2185次 阅读
AI芯片市场将爆发至近200亿美元 市场蛋糕如何争夺

物联网设备中网络攻击最有可能的三大方面分析

大量物联网设备等于为企业网络敞开大门,使企业更容易受到网络攻击。Gartner报告指出,在企业加速采....

发表于 06-25 10:30 257次 阅读
物联网设备中网络攻击最有可能的三大方面分析

智慧城市需要做好“居民沟通”工作

报告显示,有必要与发展中智慧城市的居民进行更有效的沟通。四分之三的受访者认为,智慧城市的市政府并没有....

的头像 E安全 发表于 06-05 15:43 829次 阅读
智慧城市需要做好“居民沟通”工作

新思科技公司开展技术大会,分享成功经验技术交流

新思科技公司(Synopsys)日前宣布:深受中国集成电路设计业者广泛欢迎的Synopsys用户大会....

发表于 06-02 11:30 268次 阅读
新思科技公司开展技术大会,分享成功经验技术交流

全球50万台路由器变“肉鸡”

第一阶段:由最轻量级的恶意程序感染设备,并获得启动持久性。几周前,罗马尼亚安全专家披露,第一款在设备....

的头像 E安全 发表于 05-28 15:48 1327次 阅读
全球50万台路由器变“肉鸡”

拔网线是防止网络攻击的终极大招?

研究员Tromer表示:“这种攻击方法很可能会很快从实验室走出去,成为流行的攻击方法。黑客们会研究出....

的头像 悟空智能科技 发表于 05-28 10:49 869次 阅读
拔网线是防止网络攻击的终极大招?

卡巴斯基实验室发文:2017年10.8%的工业控制系统受到僵尸网络攻击

在大多数情况下,僵尸网络代理的作用包括搜索和窃取金融信息、窃取认证数据、暴力破解密码、发送垃圾邮件,....

发表于 05-10 14:01 827次 阅读
卡巴斯基实验室发文:2017年10.8%的工业控制系统受到僵尸网络攻击

为什么说供应链攻击是核电站安全的“盲区”?

一般的网络攻击难以打破核电站的关键系统防御机制,资源雄厚的攻击者不得不将目标转移到它的供应链和生产基....

的头像 E安全 发表于 05-03 11:04 1012次 阅读
为什么说供应链攻击是核电站安全的“盲区”?

黑客是如何利用人工智能进行网络攻击

机器学习是人工智能的一个分支,通过经验学习和适应的技术来使计算机模仿人类认知。其特征是基于经验和模式....

发表于 05-02 16:23 846次 阅读
黑客是如何利用人工智能进行网络攻击

服务器被攻击的解决办法

网络攻击有很多种,网络上常用的攻击有DDOS攻击、SYN攻击、ARP攻击以及木马、病毒等等,再安全的....

发表于 04-26 12:51 410次 阅读
服务器被攻击的解决办法

俄罗斯在不断加强自身网络攻防能力,而且越来越具有攻击性

网络安全技术公司 Crowdstrike 2018年2月发布的一份报告显示,2017年网络攻击的数量....

的头像 E安全 发表于 04-19 11:22 775次 阅读
俄罗斯在不断加强自身网络攻防能力,而且越来越具有攻击性

伊顿下一代 Tofino 装置保护工业网络免受网络安全漏洞的攻击

伊顿产品线经理 Roger Highton 说道:“当工业控制 (Industrial Contro....

发表于 04-02 11:07 334次 阅读
伊顿下一代 Tofino 装置保护工业网络免受网络安全漏洞的攻击

车联网时代 汽车软件安全与驾驶安全同等重要

近年来,车联网、无人驾驶汽车等依托于新技术的汽车应用发展迅猛。随着物联网技术日渐成熟,车联网服务将逐....

的头像 人间烟火123 发表于 02-27 13:42 2700次 阅读
车联网时代 汽车软件安全与驾驶安全同等重要

CIO防止或减轻网络攻击的措施

越来越复杂的网络犯罪开始出现在人们的视线中,网络攻击者比以往更具组织性和复杂性。对于企业来说应对网络....

发表于 02-11 09:05 137次 阅读
CIO防止或减轻网络攻击的措施

论网络攻击的改变和防御

网络攻击成为目前网络安全的一大痛点,黑客的创新脚步从未减缓,随着网络边界的消失,随着数据逐渐迁移到S....

发表于 02-11 09:00 202次 阅读
论网络攻击的改变和防御

基于因果知识网络的攻击路径预测

随着网络攻击技术的不断发展,多步性成为目前网络攻击行为的主要特点之一。攻击行为的多步性是指攻击者利用....

发表于 02-06 15:11 75次 阅读
基于因果知识网络的攻击路径预测

快速破解识别APT28网络攻击流量

2016年底,Redsocks securitv发现了一个APT28使用的过期域名,原本Redsoc....

发表于 01-29 16:31 128次 阅读
快速破解识别APT28网络攻击流量

医疗机构资安风险升高 应训练员工对BYOD风险认识

在2016年医疗保健产业面临的网络攻击中,有72%是勒索软件,是仅次于金融服务的产业,彰显医疗保健产....

发表于 01-25 15:47 272次 阅读
医疗机构资安风险升高 应训练员工对BYOD风险认识

新思科技最新的业务发展方向——软件质量与安全

从硬件,到软件,再到“安全的软件”,尤其在物联网设备数量开始爆发式增长,同时安全威胁日益严峻的今天,....

发表于 01-18 16:43 324次 阅读
新思科技最新的业务发展方向——软件质量与安全

网络攻击成电力业者最关切威胁

将近63%的电力事业高层相信,未来5年内他们的国家电网将遭受网络攻击,导致电力供应中断危机。北美电业....

发表于 01-17 11:11 510次 阅读
网络攻击成电力业者最关切威胁

通过人工智能 人们可以对网络攻击做出更快和更好的决策

如今,一些人对于网络安全解决方案的潜力提出了大胆的主张,即在几乎没有人为干预的情况下检测和阻止网络攻....

的头像 AI人工智能D1net 发表于 01-09 14:30 1135次 阅读
通过人工智能 人们可以对网络攻击做出更快和更好的决策

Votiro的E-mail闸道安全防护推出重要更新

Votiro持续使用其先进的档案无害化与重组技术来保护新的档案类型,最近更支持Visio(一种图表和....

发表于 01-09 11:54 186次 阅读
Votiro的E-mail闸道安全防护推出重要更新

网络攻击日益频繁 主动防护更为关键

2017年WannaCry和Petya病毒攻击事件肆虐全球,勒索软件日益猖獗,面对日益频繁网络攻击,....

发表于 01-09 11:42 213次 阅读
网络攻击日益频繁 主动防护更为关键

未来传感器行业的关注点有哪些 屏下指纹是其一

在人脸识别技术的对比下,屏下指纹可能最能适应目前的市场。技术的难题已经解决,市场的爆发只是时间的问题....

发表于 12-15 17:07 394次 阅读
未来传感器行业的关注点有哪些  屏下指纹是其一

新思科技凭借静态分析解决方案荣获静态应用安全测试最高分

新思科技静态分析在2017年第四季度静态应用安全测试中“现有产品”和“策略”类别都获得了最高分。被F....

发表于 12-14 17:24 188次 阅读
新思科技凭借静态分析解决方案荣获静态应用安全测试最高分

基于Petri网的嵌入式软件组件的实时性分析

随着科技的发展,大多数的电子系统和产品含有特定的硬件器件和功能模块,显然这些系统是多种类、嵌入式的。....

发表于 10-30 11:57 65次 阅读
基于Petri网的嵌入式软件组件的实时性分析

学界大师传道解惑,高校师生知识盛宴

本次大师班面向示范性微电子学院的青年教师,以及硕士博士研究生、博士后等在校学生,同时也面向产业技术精....

发表于 07-24 09:29 421次 阅读
学界大师传道解惑,高校师生知识盛宴