【四旋翼飞行器】76小时吃透四轴算法!史上最强软硬结合实战项目,👉戳此立抢👈

开源组件审计在并购交易中的意义与价值

2018-09-12 12:59 次阅读

作者: 黑鸭按需审计部门市场营销总监Shandra Gemmiti

注:美国新思科技公司 (Synopsys, Nasdaq: SNPS)已经于2017年第四季度完成对黑鸭子软件公司(Black Duck Software)的收购。

为了对抗日渐猖獗的网络攻击,各大公司在安全领域的投资也随之持续增加,包括并购其它有相应技术和软件的公司。然而,并购双方的产品或者产品使用的第三方开源组件是否是安全的,在完成交易之前都需要深度评估。

开源无处不在。研究人员发现开源组件的使用多年来一直处于增长的状态。由于开源现在如此普及,他们越来越关注构建在开源组件基础上的应用程序的安全性。除了手动跟踪开源组件的使用,企业只能通过软件组件分析(SCA)工具以确定其代码库中的开源组件。调研机构451 Research公司将软件组件分析定义为“对已经内置到应用程序中的库的识别,并且这个库主要用的是第三方开源组件”。此识别功能可帮助企业发现未修补的代码,许可问题以及由于使用开源而可能存在于代码库中的潜在安全漏洞。

开源组件审计在并购交易中的意义与价值

为什么要使用软件组件分析?

软件组件分析最常见的用途是公司用来监控和识别自己使用的开源组件和框架。但经过详细研究和案例收集,451 Research发现,软件组件分析主要用途是在兼并和收购(M&A)领域。

很多初创公司会迅速将新应用推向市场,他们使用越来越多的开源组件。因此,在并购交易中,收购方要承担软件安全性的责任,由于开源管理仍然相对不成熟,他们需要借助工具分析被收购方的产品潜在的风险以及这些代码库中的知识产权。

开源组件审计在并购交易中的意义与价值

清楚了解在企业应用程序中开源组件的使用

有很多统计数据显示在典型软件应用程序中有多少开源组件。但是,这些数据可能并不全面,会产生误解。为了更清楚地了解企业使用开源组件的增长趋势,我们应该考虑新应用程序中开源的百分比。

新思科技公司发布的《2018 年开源代码安全和风险分析》(OSSRA)报告指出平均每个代码库由57%的开源组件。该报告分析了2017年经过审计的1,100多个商业代码库中的匿名数据。这就意味着我们扫描的每个代码库中有一半以上是由开源组件组成的。值得一提的是,黑鸭开源审计重要的案例包括并购交易的尽职调查。有鉴于此,OSSRA报告中的数据可以成为并购交易中开源趋势的关键参考。

开源组件审计在并购交易中的意义与价值

更快交付软件产品意味着更多的开源组件

正如451 Research在其简报中指出的那样,应用程序需要更快推出市场,迭代更加频繁,这种趋势将持续下去。在这些应用程序中使用开源组件已经屡见不鲜。现在的开发人员在软件开发生命周期的任何阶段都可以方便地使用到第三方编写好的免费代码, 可以尽快交付软件成品。

然而这种趋势在并购交易中会有双重的担忧:公司必须了解他们并购回来的软件中使用了哪些开源组件及其数量,以评估是否存在知识产权风险;另外,他们必须了解交易前的风险状况,以保护投资回报率,并计算交易后所需的补救成本。

OSSRA报告显示了:

96%被扫描的应用中存在开源组件,每个应用中平均有 257个开源组件

2017年经过审计的代码库中有85%存在许可证冲突或者未知许可证

78% 被检查的代码库中至少包含一个漏洞,每个代码库平均包含 64个已知漏洞

安全漏洞产生的实际成本

举个例子会更加清楚这一点。想象一下,有家公司在收购Equifax,但是没有进行开源检测,那后果会怎样?Equifax由于安全漏洞问题导致了超过1.4亿人的个人数据遭到泄露,这已经不是什么秘密。这是由于Apache Struts框架中未修补的开源漏洞造成的后果。到目前为止,这个安全漏洞已经让Equifax蒙受超过4亿美元的损失,并且负面影响远不止于此。现在,我们再大胆想象一下: GDPR(《通用数据保护条例》)生效后,如果欧洲发生这种情况怎么办?那么这次收购对投资回报率会有怎么样的影响?

黑鸭子软件和451 Research公司的研究都一致指出:开源的增长势头在短时间内不会放缓。因此,并购方评估所收购的软件是否安全的难度加大,在全面了解投资风险上也面临更大的挑战。

收藏 人收藏
分享:

评论

相关推荐

新思科技发布最新版Coverity 静态应用安全测试解决方案

美国新思科技公司 宣布发布其最新版的Coverity静态应用安全测试(SAST)解决方案,这能帮助各....
的头像 人间烟火123 发表于 01-14 11:18 1714次 阅读
新思科技发布最新版Coverity 静态应用安全测试解决方案

未雨绸缪,防患于未然 新思科技剖析2019年软件安全趋势

近年来,云计算、人工智能(AI)、机器学习(ML)、物联网(IoT)和大数据在很大程度上推动了企业运....
的头像 人间烟火123 发表于 01-14 11:10 2573次 阅读
未雨绸缪,防患于未然  新思科技剖析2019年软件安全趋势

10个日常步骤如何避免网络攻击

以下是最终用户可以采取的10个简单的日常步骤,以便更好地保护自己(在许多情况下是他们的业务)免受网络....
的头像 人间烟火123 发表于 01-01 09:37 572次 阅读
10个日常步骤如何避免网络攻击

新思科技Seeker保障法国Parkeon公司支付系统安全

美国新思科技公司发布的Seeker是一套交互式应用安全测试(IAST)解决方案,其最新版本经过重新设....
的头像 人间烟火123 发表于 12-25 16:28 1561次 阅读
新思科技Seeker保障法国Parkeon公司支付系统安全

新思科技使用智能模糊测试工具Defensics检测到D-Link的行为漏洞

新思科技在早前发现D-Link DIR-850存在漏洞。此漏洞允许未经过身份验证的用户加入路由器提供....
的头像 人间烟火123 发表于 11-30 18:10 3113次 阅读
新思科技使用智能模糊测试工具Defensics检测到D-Link的行为漏洞

Synopsys推出支持TSMC 7nm工艺技术

新思科技(Synopsys)推出支持TSMC 7nm FinFET工艺技术的汽车级DesignWar....
发表于 11-13 16:20 193次 阅读
Synopsys推出支持TSMC 7nm工艺技术

提高软件质量和安全性需要交互式应用安全测试与软件组件分析相结合

根据2018年Verizon数据泄露调查报告,Web应用程序攻击仍然是数据泄露最常见的载体。Web应....
的头像 人间烟火123 发表于 11-12 16:25 2474次 阅读
提高软件质量和安全性需要交互式应用安全测试与软件组件分析相结合

新思科技应对人工智能(AI)系统级芯片提出下一代架构探索解决方案

新思科技宣布,推出适用于下一代架构探索、分析和设计的解决方案Platform Architect™U....
的头像 人间烟火123 发表于 11-01 11:51 3093次 阅读
新思科技应对人工智能(AI)系统级芯片提出下一代架构探索解决方案

软件安全构建成熟度模型BSIMM9 现已上线

今时今日,软件可谓无处不在。然而安全漏洞问题也层出不穷。因此,制定一个行之有效的软件安全计划至关重要....
的头像 人间烟火123 发表于 10-26 10:48 2465次 阅读
软件安全构建成熟度模型BSIMM9 现已上线

新思科技宣布将Truphone嵌入式SIM软件整合到DesignWaretRoot硬件安全模块中

2018年10月24日,新思科技宣布,将Truphone嵌入式SIM(eUICC)软件整合到Desi....
的头像 半导体动态 发表于 10-24 15:55 1719次 阅读
新思科技宣布将Truphone嵌入式SIM软件整合到DesignWaretRoot硬件安全模块中

新思科技加快下一代设计 设计平台成功获的TSMC 5nm EUV工艺技术认证

IC Compiler II和Design Compiler Graphical提供了统一流程,实现....
的头像 人间烟火123 发表于 10-23 14:29 2040次 阅读
新思科技加快下一代设计 设计平台成功获的TSMC 5nm EUV工艺技术认证

新思科技推出基于TSMC 7nm FinFET工艺技术的汽车级IP

基于7nm工艺技术的控制器和PHY IP具有丰富的产品组合,包括LPDDR4X、MIPI CSI-2....
的头像 人间烟火123 发表于 10-18 14:57 1949次 阅读
新思科技推出基于TSMC 7nm FinFET工艺技术的汽车级IP

加强软件安全性 推动汽车行业发展

汽车软件不再局限使用于汽车内部的少数零部件,而是变得复杂和相互连接。尽管现在汽车中的软件仍然是一个早....
的头像 人间烟火123 发表于 10-11 10:51 1868次 阅读
加强软件安全性 推动汽车行业发展

新思科技携手IBM,通过DTCO创新加速后FinFET工艺开发

采用新思科技Sentaurus、Process Explorer、StarRC、SiliconSma....
的头像 人间烟火123 发表于 09-21 11:53 2524次 阅读
新思科技携手IBM,通过DTCO创新加速后FinFET工艺开发

新思科技发布ClearView芯片和VR Bridge产品

据外媒报道,新思科技(Synaptics)发布新版ClearView显示器驱动芯片,该款经优化的部件....
的头像 罗欣 发表于 09-19 11:07 1232次 阅读
新思科技发布ClearView芯片和VR Bridge产品

Check Point携新云安全解决方案亮相云栖大会 助力企业防御第五代网络攻击

2018杭州云栖大会将于9月19日在杭州云栖小镇拉开帷幕,全球专注于安全的解决方案提供商Check ....
的头像 人间烟火123 发表于 09-17 15:14 2264次 阅读
Check Point携新云安全解决方案亮相云栖大会 助力企业防御第五代网络攻击

新思科技凭借突破性机器学习技术将形式属性验证性能提高10倍

新思科技宣布,推出一种基于人工智能(AI)的最新形式验证应用,即回归模式加速器。作为新思科技VC F....
的头像 人间烟火123 发表于 09-06 11:13 2590次 阅读
新思科技凭借突破性机器学习技术将形式属性验证性能提高10倍

如何做到更有效的安全防护成为金融服务机构的关注点

近年来,得益于云计算、大数据、人工智能、区块链等技术的发展,金融服务也更加多样、便利及智能。与此同时....
的头像 人间烟火123 发表于 08-29 11:47 1661次 阅读
如何做到更有效的安全防护成为金融服务机构的关注点

新思科技亮相2018中国智博会 推出汽车电子智能化解决新方案

新思科技宣布,受邀参加于2018年8月23日至25日在重庆国际博览中心举办的“2018中国国际智能产....
的头像 人间烟火123 发表于 08-27 08:48 2141次 阅读
新思科技亮相2018中国智博会 推出汽车电子智能化解决新方案

新思科技:全方位服务中国IC企业,承接高端技术研发

我们很少看到一家外资企业在中国本土建设自己的全球研发中心,这是因为固定资产运作起来耗时费力,而外企....
发表于 08-25 09:29 720次 阅读
新思科技:全方位服务中国IC企业,承接高端技术研发

博思艾伦获10亿美元合同,成美国政府最大网络安全提供商

2018年8月22日,Struts2 官方公布最新的 Struts2 远程代码执行漏洞 S2-057....
的头像 E安全 发表于 08-24 14:34 2287次 阅读
博思艾伦获10亿美元合同,成美国政府最大网络安全提供商

中国集成电路产业人才白皮书发布 产业人才平均月薪仅9千

日前,中国电子信息产业发展研究院(CCID)和工业和信息化部软件与集成电路促进中心(CSIP)联合中....
的头像 章鹰 发表于 08-20 08:45 5160次 阅读
中国集成电路产业人才白皮书发布 产业人才平均月薪仅9千

新思科技助力《中国集成电路产业人才白皮书(2017-2018)》成功发布

中国电子信息产业发展研究院(CCID)和工业和信息化部软件与集成电路促进中心(CSIP)联合中国国际....
的头像 罗欣 发表于 08-17 17:10 1513次 阅读
新思科技助力《中国集成电路产业人才白皮书(2017-2018)》成功发布

新思科技正式发布《中国集成电路产业人才白皮书(2017-2018)》

新思科技宣布,中国电子信息产业发展研究院(CCID)和工业和信息化部软件与集成电路促进中心(CSIP....
的头像 人间烟火123 发表于 08-17 16:00 3491次 阅读
新思科技正式发布《中国集成电路产业人才白皮书(2017-2018)》

网络攻击扩大恐怖主义影响,更“方便”国家较量

2018年1月4号,卡耐基国际和平基金会发表了一份报告,报告将伊朗描述为“第三级网络威胁”。
的头像 E安全 发表于 08-14 10:33 1571次 阅读
网络攻击扩大恐怖主义影响,更“方便”国家较量

新思科技调查:67%企业缺乏熟练的专业人才或培训 阻碍软件安全计划的实施进展

 如果要开发软件,就必须拥有软件安全计划 (SSI)。实施SSI 可以尽可能地防止安全缺陷进入到生产....
的头像 人间烟火123 发表于 08-13 12:28 1866次 阅读
新思科技调查:67%企业缺乏熟练的专业人才或培训 阻碍软件安全计划的实施进展

新思科技海外首次投资建设的武汉全球研发中心顺利封顶19年建成投用

新思科技武汉全球研发中心座落于武汉东湖新技术开发区,是新思科技在海外首次投资建设的顶级研发中心,预计....
发表于 08-02 17:29 385次 阅读
新思科技海外首次投资建设的武汉全球研发中心顺利封顶19年建成投用

Arm最新高级移动平台,成功实现了SoC流片

新思科技设计事业部全球总经理Deirdre Hanford表示:“Arm与新思科技的早期和深入合作为....
发表于 07-28 11:17 306次 阅读
Arm最新高级移动平台,成功实现了SoC流片

新思科技助力包括Cortex-A76和Mali-G76处理器在内的Arm最新高级移动IP的早期使用者实现成功流片

DesignWare Interface IP包括USB、DDR、PCI Express、MIPI和....
的头像 人间烟火123 发表于 07-26 15:21 2309次 阅读
新思科技助力包括Cortex-A76和Mali-G76处理器在内的Arm最新高级移动IP的早期使用者实现成功流片

新思科技Synphony HLS解决方案

新思科技公司高层级综合法和系统级别营销总监Chris Eddington介绍说,Synphony H....
发表于 07-19 15:40 267次 阅读
新思科技Synphony HLS解决方案

新思科技Custom Design Platform获批三星7LPP工艺技术认证

· 新思科技Custom Design Platform为三星7LPP工艺技术提供经认证的工具、PD....
的头像 人间烟火123 发表于 07-18 11:46 3324次 阅读
新思科技Custom Design Platform获批三星7LPP工艺技术认证

新思科技Fusion技术助力三星7LPP EUV工艺降低功耗、缩小面积并提高性能

新思科技设计事业部营销与商务开发副总裁Michael Jackson表示:“我们与三星的工具和参考流....
的头像 章鹰 发表于 07-05 14:15 1820次 阅读
新思科技Fusion技术助力三星7LPP EUV工艺降低功耗、缩小面积并提高性能

新思科技公司宣布集成化混合原型验证解决方案

通过对新设计的功能使用Virtualizer虚拟原型技术和对重用逻辑使用基于FPGA的HAPS原型技....
发表于 07-02 11:50 378次 阅读
新思科技公司宣布集成化混合原型验证解决方案

新一代SoC FPGA提供系统可信根,防止关键数据受到网络攻击

物联网(IoT)的规模和复杂性不断上升,对主动的强化安全措施的需求日益增加。仅利用软件安全功能已经不....
发表于 06-27 08:31 266次 阅读
新一代SoC FPGA提供系统可信根,防止关键数据受到网络攻击

AI芯片市场将爆发至近200亿美元 市场蛋糕如何争夺

AI计算正处于爆发增长期,国际权威基金评级机构Morningstar预测,2021年全球AI芯片市场....
的头像 章鹰 发表于 06-25 11:02 2651次 阅读
AI芯片市场将爆发至近200亿美元 市场蛋糕如何争夺

物联网设备中网络攻击最有可能的三大方面分析

大量物联网设备等于为企业网络敞开大门,使企业更容易受到网络攻击。Gartner报告指出,在企业加速采....
发表于 06-25 10:30 455次 阅读
物联网设备中网络攻击最有可能的三大方面分析

智慧城市需要做好“居民沟通”工作

报告显示,有必要与发展中智慧城市的居民进行更有效的沟通。四分之三的受访者认为,智慧城市的市政府并没有....
的头像 E安全 发表于 06-05 15:43 1163次 阅读
智慧城市需要做好“居民沟通”工作

新思科技公司开展技术大会,分享成功经验技术交流

新思科技公司(Synopsys)日前宣布:深受中国集成电路设计业者广泛欢迎的Synopsys用户大会....
发表于 06-02 11:30 404次 阅读
新思科技公司开展技术大会,分享成功经验技术交流

全球50万台路由器变“肉鸡”

第一阶段:由最轻量级的恶意程序感染设备,并获得启动持久性。几周前,罗马尼亚安全专家披露,第一款在设备....
的头像 E安全 发表于 05-28 15:48 2126次 阅读
全球50万台路由器变“肉鸡”

拔网线是防止网络攻击的终极大招?

研究员Tromer表示:“这种攻击方法很可能会很快从实验室走出去,成为流行的攻击方法。黑客们会研究出....
的头像 悟空智能科技 发表于 05-28 10:49 1355次 阅读
拔网线是防止网络攻击的终极大招?

卡巴斯基实验室发文:2017年10.8%的工业控制系统受到僵尸网络攻击

在大多数情况下,僵尸网络代理的作用包括搜索和窃取金融信息、窃取认证数据、暴力破解密码、发送垃圾邮件,....
发表于 05-10 14:01 925次 阅读
卡巴斯基实验室发文:2017年10.8%的工业控制系统受到僵尸网络攻击

为什么说供应链攻击是核电站安全的“盲区”?

一般的网络攻击难以打破核电站的关键系统防御机制,资源雄厚的攻击者不得不将目标转移到它的供应链和生产基....
的头像 E安全 发表于 05-03 11:04 1361次 阅读
为什么说供应链攻击是核电站安全的“盲区”?

黑客是如何利用人工智能进行网络攻击

机器学习是人工智能的一个分支,通过经验学习和适应的技术来使计算机模仿人类认知。其特征是基于经验和模式....
发表于 05-02 16:23 1696次 阅读
黑客是如何利用人工智能进行网络攻击

服务器被攻击的解决办法

网络攻击有很多种,网络上常用的攻击有DDOS攻击、SYN攻击、ARP攻击以及木马、病毒等等,再安全的....
发表于 04-26 12:51 629次 阅读
服务器被攻击的解决办法

俄罗斯在不断加强自身网络攻防能力,而且越来越具有攻击性

网络安全技术公司 Crowdstrike 2018年2月发布的一份报告显示,2017年网络攻击的数量....
的头像 E安全 发表于 04-19 11:22 1306次 阅读
俄罗斯在不断加强自身网络攻防能力,而且越来越具有攻击性

车联网时代 汽车软件安全与驾驶安全同等重要

近年来,车联网、无人驾驶汽车等依托于新技术的汽车应用发展迅猛。随着物联网技术日渐成熟,车联网服务将逐....
的头像 人间烟火123 发表于 02-27 13:42 3229次 阅读
车联网时代 汽车软件安全与驾驶安全同等重要

CIO防止或减轻网络攻击的措施

越来越复杂的网络犯罪开始出现在人们的视线中,网络攻击者比以往更具组织性和复杂性。对于企业来说应对网络....
发表于 02-11 09:05 195次 阅读
CIO防止或减轻网络攻击的措施

论网络攻击的改变和防御

网络攻击成为目前网络安全的一大痛点,黑客的创新脚步从未减缓,随着网络边界的消失,随着数据逐渐迁移到S....
发表于 02-11 09:00 240次 阅读
论网络攻击的改变和防御

基于因果知识网络的攻击路径预测

随着网络攻击技术的不断发展,多步性成为目前网络攻击行为的主要特点之一。攻击行为的多步性是指攻击者利用....
发表于 02-06 15:11 113次 阅读
基于因果知识网络的攻击路径预测