张飞软硬开源基于STM32 BLDC直流无刷电机驱动器开发视频套件,👉戳此立抢👈

开源组件审计在并购交易中的意义与价值

2018-09-12 12:59 次阅读

作者: 黑鸭按需审计部门市场营销总监Shandra Gemmiti

注:美国新思科技公司 (Synopsys, Nasdaq: SNPS)已经于2017年第四季度完成对黑鸭子软件公司(Black Duck Software)的收购。

为了对抗日渐猖獗的网络攻击,各大公司在安全领域的投资也随之持续增加,包括并购其它有相应技术和软件的公司。然而,并购双方的产品或者产品使用的第三方开源组件是否是安全的,在完成交易之前都需要深度评估。

开源无处不在。研究人员发现开源组件的使用多年来一直处于增长的状态。由于开源现在如此普及,他们越来越关注构建在开源组件基础上的应用程序的安全性。除了手动跟踪开源组件的使用,企业只能通过软件组件分析(SCA)工具以确定其代码库中的开源组件。调研机构451 Research公司将软件组件分析定义为“对已经内置到应用程序中的库的识别,并且这个库主要用的是第三方开源组件”。此识别功能可帮助企业发现未修补的代码,许可问题以及由于使用开源而可能存在于代码库中的潜在安全漏洞。

开源组件审计在并购交易中的意义与价值

为什么要使用软件组件分析?

软件组件分析最常见的用途是公司用来监控和识别自己使用的开源组件和框架。但经过详细研究和案例收集,451 Research发现,软件组件分析主要用途是在兼并和收购(M&A)领域。

很多初创公司会迅速将新应用推向市场,他们使用越来越多的开源组件。因此,在并购交易中,收购方要承担软件安全性的责任,由于开源管理仍然相对不成熟,他们需要借助工具分析被收购方的产品潜在的风险以及这些代码库中的知识产权。

开源组件审计在并购交易中的意义与价值

清楚了解在企业应用程序中开源组件的使用

有很多统计数据显示在典型软件应用程序中有多少开源组件。但是,这些数据可能并不全面,会产生误解。为了更清楚地了解企业使用开源组件的增长趋势,我们应该考虑新应用程序中开源的百分比。

新思科技公司发布的《2018 年开源代码安全和风险分析》(OSSRA)报告指出平均每个代码库由57%的开源组件。该报告分析了2017年经过审计的1,100多个商业代码库中的匿名数据。这就意味着我们扫描的每个代码库中有一半以上是由开源组件组成的。值得一提的是,黑鸭开源审计重要的案例包括并购交易的尽职调查。有鉴于此,OSSRA报告中的数据可以成为并购交易中开源趋势的关键参考。

开源组件审计在并购交易中的意义与价值

更快交付软件产品意味着更多的开源组件

正如451 Research在其简报中指出的那样,应用程序需要更快推出市场,迭代更加频繁,这种趋势将持续下去。在这些应用程序中使用开源组件已经屡见不鲜。现在的开发人员在软件开发生命周期的任何阶段都可以方便地使用到第三方编写好的免费代码, 可以尽快交付软件成品。

然而这种趋势在并购交易中会有双重的担忧:公司必须了解他们并购回来的软件中使用了哪些开源组件及其数量,以评估是否存在知识产权风险;另外,他们必须了解交易前的风险状况,以保护投资回报率,并计算交易后所需的补救成本。

OSSRA报告显示了:

96%被扫描的应用中存在开源组件,每个应用中平均有 257个开源组件

2017年经过审计的代码库中有85%存在许可证冲突或者未知许可证

78% 被检查的代码库中至少包含一个漏洞,每个代码库平均包含 64个已知漏洞

安全漏洞产生的实际成本

举个例子会更加清楚这一点。想象一下,有家公司在收购Equifax,但是没有进行开源检测,那后果会怎样?Equifax由于安全漏洞问题导致了超过1.4亿人的个人数据遭到泄露,这已经不是什么秘密。这是由于Apache Struts框架中未修补的开源漏洞造成的后果。到目前为止,这个安全漏洞已经让Equifax蒙受超过4亿美元的损失,并且负面影响远不止于此。现在,我们再大胆想象一下: GDPR(《通用数据保护条例》)生效后,如果欧洲发生这种情况怎么办?那么这次收购对投资回报率会有怎么样的影响?

黑鸭子软件和451 Research公司的研究都一致指出:开源的增长势头在短时间内不会放缓。因此,并购方评估所收购的软件是否安全的难度加大,在全面了解投资风险上也面临更大的挑战。

收藏 人收藏
分享:

评论

相关推荐

新思科技助力,三星5nm、4nm、3nm工艺再加速

全球知名的EDA工具厂商新思科技(Synopsys)宣布,面向三星7LPP(7nm Low Powe....
的头像 旺材芯片 发表于 07-11 14:49 358次 阅读
新思科技助力,三星5nm、4nm、3nm工艺再加速

新思科技持续履行社会责任 应对全球气候变化

新思科技近日宣布,其全球业务获得2019 CarbonNeutral®认证,减少约100000吨二氧....
的头像 新思科技 发表于 07-11 08:52 297次 阅读
新思科技持续履行社会责任 应对全球气候变化

抄袭华为代码 思科表明忘删了

据美国科技媒体ZDNet新闻网消息,思科在其官网一下子列举19条程序安全相关声明,建议其客户对产品进....
的头像 嵌入式资讯精选 发表于 07-10 11:10 513次 阅读
抄袭华为代码 思科表明忘删了

新思科技与英飞凌拓展汽车卓越中心

新思科技与英飞凌的合作侧重于面向汽车用户建模、软件开发和交付VDK
的头像 新思科技 发表于 07-10 10:01 257次 阅读
新思科技与英飞凌拓展汽车卓越中心

新思科技助力三星5nm/4nm/3nm工艺再加速

近日,全球知名的EDA工具厂商新思科技(Synopsys)宣布,面向三星7LPP(7nm Low P....
的头像 芯智讯 发表于 07-09 17:13 758次 阅读
新思科技助力三星5nm/4nm/3nm工艺再加速

新思科技与GLOBALFOUNDRIES合作 开发覆盖面广泛的DesignWare® IP组合

新思科技近日宣布与GLOBALFOUNDRIES (GF)合作,针对GF的12纳米领先性能(12LP....
的头像 新思科技 发表于 07-05 09:13 311次 阅读
新思科技与GLOBALFOUNDRIES合作 开发覆盖面广泛的DesignWare® IP组合

新思科技与GLOBALFOUNDRIES持续合作 推出高质量DesignWare IP

高质量DesignWare接口和模拟IP经过优化,可在人工智能、云计算和移动芯片中实现高性能和低功耗....
发表于 06-29 09:49 195次 阅读
新思科技与GLOBALFOUNDRIES持续合作 推出高质量DesignWare IP

新加坡货币交易所被攻击 损失超400万美元

6月27日,总部位于新加坡的加密货币交易所Bitrue被黑客入侵,用户资产损失约420万美元。该平台....
发表于 06-28 17:00 125次 阅读
新加坡货币交易所被攻击 损失超400万美元

医疗邮政银行瘫痪三周后,佛罗里达两城市接连向黑客屈服

巴尔的摩还在苦战,里维埃拉熬不住了
的头像 大数据文摘 发表于 06-28 11:33 429次 阅读
医疗邮政银行瘫痪三周后,佛罗里达两城市接连向黑客屈服

美国俄勒冈州服务部遭遇大规模网络攻击

俄勒冈州(DHS)遭受大规模网络攻击,导致数据泄露,受影响的人数约为64.5万人。
的头像 E安全 发表于 06-27 14:31 180次 阅读
美国俄勒冈州服务部遭遇大规模网络攻击

助力AI算法芯片化 新思科技推出ASIP Designer

针对AI算法厂商纷纷将算法芯片化的趋势,近期,全球知名的EDA工具厂商新思科技(Synopsys)推....
的头像 新思科技 发表于 06-26 08:41 859次 阅读
助力AI算法芯片化 新思科技推出ASIP Designer

FinFET之父胡正明教授展望2nm之后的长远发展之路

随着最先进工艺不断向7nm、5nm、2nm迈进,半导体行业面临最大的挑战是找到长远的发展之路。
的头像 新思科技 发表于 06-24 15:35 608次 阅读
FinFET之父胡正明教授展望2nm之后的长远发展之路

新思科技开发者如何改变世界?

近日,一年一度的新思科技开发者大会在上海互联宝地拉开帷幕。今年的开发者大会对新思科技来说更具时代意义....
的头像 新思科技 发表于 06-21 08:46 653次 阅读
新思科技开发者如何改变世界?

2014年专门针对工控系统的新型攻击

2014年6月25日,ICS-CERT发布了题为“ICS Focused Malware”的安全通告....
发表于 06-20 11:35 68次 阅读
2014年专门针对工控系统的新型攻击

美国网络司令部持续对俄罗斯电网发动攻击

美国网络司令部最近几个月多次入侵俄罗斯的电力基础设施,称是以发动网络攻击来遏制潜在的网络攻击。
的头像 E安全 发表于 06-18 14:05 373次 阅读
美国网络司令部持续对俄罗斯电网发动攻击

新思科技推出 PrimeYield™ 解决方案 比现有解决方案快1000多倍

新思科技近日宣布推出 PrimeYield™ 解决方案,这是获得专利的快速统计方法和先进的机器学习技....
的头像 新思科技 发表于 06-15 09:15 536次 阅读
新思科技推出 PrimeYield™ 解决方案 比现有解决方案快1000多倍

瞻博网络凭借Fusion技术的IC Compiler II将ECO周转时间缩短近一半

新思科技近日宣布采用先进Fusion技术的创新型IC Compiler™ II布局布线解决方案已在瞻....
的头像 新思科技 发表于 06-14 08:42 679次 阅读
瞻博网络凭借Fusion技术的IC Compiler II将ECO周转时间缩短近一半

新思科技成为首个获得三星EUV技术5LPE工艺认证的平台

新思科技近日宣布,三星(Samsung Electronics)认证了新思科技Fusion Desi....
的头像 新思科技 发表于 06-12 13:48 639次 阅读
新思科技成为首个获得三星EUV技术5LPE工艺认证的平台

新思科技升级Verification Continuum平台继续引领技术

新思科技近日发布新版Verification Continuum™平台,将各种验证工具进行新的原生集....
的头像 新思科技 发表于 06-11 08:42 560次 阅读
新思科技升级Verification Continuum平台继续引领技术

当等保2.0遇上“网络攻击” APT预警平台如何发挥作用?

如何高效完成这一场“升级版合规考试”,是我们亟需解决的问题。
的头像 E安全 发表于 06-09 17:54 625次 阅读
当等保2.0遇上“网络攻击” APT预警平台如何发挥作用?

新思科技与Elektrobit合作加速汽车电子系统虚拟开发

新思科技和Elektrobit(简称“EB”)近日宣布了一项利用虚拟环境加速汽车电子系统开发的合作计....
的头像 新思科技 发表于 06-04 14:28 606次 阅读
新思科技与Elektrobit合作加速汽车电子系统虚拟开发

北约 | 面对网络威胁,将采取更积极的方式回应!

北约秘书长表示,应对网络攻击的方法不局限于防御,且反击不仅限于网络空间。
的头像 E安全 发表于 05-31 14:35 559次 阅读
北约 | 面对网络威胁,将采取更积极的方式回应!

新思科技与Kudan达成合作 共同针对嵌入式视觉处理器优化软件算法

新思科技和领先的同步定位与建图(SLAM)软件算法授权商Kudan近日宣布达成合作,共同针对新思科技....
的头像 电子发烧友网工程师 发表于 05-25 09:10 908次 阅读
新思科技与Kudan达成合作 共同针对嵌入式视觉处理器优化软件算法

新思科技发布2019年财年第二季度的业绩报告 同比增长15.69%

近日,新思科技发布2019年财年第二季度的业绩报告,截至2019年4月30日止三个月,按GAAP计算....
的头像 半导体投资联盟 发表于 05-24 11:46 776次 阅读
新思科技发布2019年财年第二季度的业绩报告 同比增长15.69%

2019世界半导体大会圆满落幕 共十五家企业和单位获得大会最佳展示奖

南京市委常委、南京江北新区党工委专职副书记罗群,江苏省工业和信息化厅副厅长池宇,江北新区管委会副主任....
发表于 05-23 17:31 710次 阅读
2019世界半导体大会圆满落幕 共十五家企业和单位获得大会最佳展示奖

新思科技推出显示流压缩编码器和解码器IP 视觉无损压缩

新思科技近日宣布推出DesignWare®视频电子标准协会(VESA®)显示流压缩(DSC)编码器和....
的头像 电子发烧友网工程师 发表于 05-23 08:36 851次 阅读
新思科技推出显示流压缩编码器和解码器IP 视觉无损压缩

新思科技设计平台 支持台积电先进的SoIC芯片堆叠技术

对全新芯片堆叠技术的全面支持确保实现最高性能的3D-IC解决方案
的头像 电子发烧友网工程师 发表于 05-18 11:28 1287次 阅读
新思科技设计平台 支持台积电先进的SoIC芯片堆叠技术

新思科技推出业内首个DDR5 NVDIMM-P验证IP 加速验证工作完成

新思科技(Synopsys,Inc.纳斯达克股票代码:SNPS)近日宣布为DDR5/4非易失性双列直....
的头像 电子发烧友网工程师 发表于 05-17 09:43 867次 阅读
新思科技推出业内首个DDR5 NVDIMM-P验证IP 加速验证工作完成

新思科技和Arm将合作拓展 加速差异化产品的开发

新思科技(Synopsys, Inc. 纳斯达克股票代码:SNPS)近日宣布和Arm扩展合作,提供支....
的头像 电子发烧友网工程师 发表于 05-17 09:36 646次 阅读
新思科技和Arm将合作拓展 加速差异化产品的开发

新思科技与博码物联携手合作 提供完整的NB-IoT综合解决方案

新思科技(Synopsys, Inc.,纳斯达克股票市场代码:SNPS)和博码物联 (Palma C....
的头像 电子发烧友网工程师 发表于 05-16 14:33 529次 阅读
新思科技与博码物联携手合作 提供完整的NB-IoT综合解决方案

G7集团计划于6月进行针对金融业的跨境网络安全演练

法国央行负责金融稳定的总干事Nathalie Aufauvre表示,此次演练是在法国担任G7集团轮值....
的头像 E安全 发表于 05-15 16:28 893次 阅读
G7集团计划于6月进行针对金融业的跨境网络安全演练

新思宣布用于台积电7纳米制程技术的IP已获得超过250个设计的选用

新思宣布,其用于台积电7纳米制程技术的DesignWare逻辑库、嵌入式存储器、界面和类比IP已获得....
的头像 半导体动态 发表于 05-14 16:25 733次 阅读
新思宣布用于台积电7纳米制程技术的IP已获得超过250个设计的选用

新思科技宣布自家设计平台已通过台积电最新系统整合芯片3D芯片堆栈技术的认证

新思科技宣布新思科技设计平台(Synopsys Design Platform)已通过台积电最新系统....
的头像 半导体动态 发表于 05-07 16:20 715次 阅读
新思科技宣布自家设计平台已通过台积电最新系统整合芯片3D芯片堆栈技术的认证

五大关键字勾勒新思技术四月天

四月酝酿着芳菲的故事,新思持续着科技的创新。
的头像 电子发烧友网工程师 发表于 05-05 15:02 368次 阅读
五大关键字勾勒新思技术四月天

新思科技与意法半导体建立卓越中心 加速汽车电子系统开发

基于ST“恒星”(Stellar)多核MCU的新一代Virtualizer开发工具包已在领先的汽车电....
的头像 电子发烧友网工程师 发表于 05-04 08:44 992次 阅读
新思科技与意法半导体建立卓越中心 加速汽车电子系统开发

美日联合声明 网络攻击将被视为武装攻击

美国和日本在美日联合安全咨询委员会上达成一致,针对日本的网络攻击可以被视为两国安全条约中提及的武装攻....
的头像 E安全 发表于 04-30 15:50 735次 阅读
美日联合声明 网络攻击将被视为武装攻击

区块链可以保护物联网设备免受网络攻击

如今,许多“智能”联网设备都是由拥有知名品牌的大公司制造的,比如谷歌、苹果、微软和三星,它们既有技术....
发表于 04-26 14:46 186次 阅读
区块链可以保护物联网设备免受网络攻击

印度可能在2019年超过英国,成为第二大银行卡诈骗目标国

但支付卡数量突然增加,银行业并没有在支付卡安全性方面做出努力。印度的银行仍然易受黑客攻击,电子银行解....
的头像 E安全 发表于 04-23 18:01 1020次 阅读
印度可能在2019年超过英国,成为第二大银行卡诈骗目标国

部署一项有效的企业安全策略需要了解黑客的攻击手法,技术和步骤

万豪国际集团,快餐连锁唐恩都乐和美国思杰公司遭遇的数据入侵事件只是其中的冰山一角。据Centrify....
的头像 E安全 发表于 04-23 17:56 842次 阅读
部署一项有效的企业安全策略需要了解黑客的攻击手法,技术和步骤

新思科技发布TestMAX系列产品 重新界定测试的预期

人工智能和汽车等快速发展的新应用增加了设计规模与复杂性。这些不断发展的细分市场需要前所未有的高质量和....
发表于 04-08 16:00 1831次 阅读
新思科技发布TestMAX系列产品 重新界定测试的预期

新思科技:探索如何利用机器学习和 AI 的能力

3月15日,上海,由智东西主办、AWE 和极果联合主办的 GTIC 2019 全球 AI 芯片创新峰....
发表于 03-29 15:35 106次 阅读
新思科技:探索如何利用机器学习和 AI 的能力

Facebook及其旗下应用程序遭遇多年来最严重的宕机

这些服务无法使用,让用户感到很不方便,于是他们转向其他社交媒体平台——Twitter上表达了他们的担....
的头像 E安全 发表于 03-27 15:31 565次 阅读
Facebook及其旗下应用程序遭遇多年来最严重的宕机

朝鲜通过网络攻击筹集了大约6.7亿美元的虚拟货币和法定货币

据信,从2015年到2018年,朝鲜在三年多的时间里对外国金融机构实施了多次攻击。从2017年1月到....
的头像 E安全 发表于 03-13 15:01 1025次 阅读
朝鲜通过网络攻击筹集了大约6.7亿美元的虚拟货币和法定货币

网络安全研究人员公布了这些所谓的智能警报的安全状况

破坏智能警报系统不仅会导致车辆和车主的详细信息被盗,还会导致汽车解锁、警报关闭、车辆被跟踪、麦克风受....
的头像 E安全 发表于 03-11 15:12 539次 阅读
网络安全研究人员公布了这些所谓的智能警报的安全状况

物联网设备制造商和企业重新考虑物联网安全的时机已经到来

物联网设备制造商可以从这次攻击中吸取的最重要的教训之一是,即使有计划良好的安全措施,其后门仍可能招来....
的头像 物联网智慧城市D1net 发表于 03-08 16:04 997次 阅读
物联网设备制造商和企业重新考虑物联网安全的时机已经到来

美国国家安全局首席政策顾问:美国政府需要做的不仅仅是反击对美国发动的网络攻击

oyce引用了WannaCry和NotPetya恶意软件攻击,以及俄罗斯在2016年美国总统大选前夕....
的头像 E安全 发表于 03-07 17:35 2549次 阅读
美国国家安全局首席政策顾问:美国政府需要做的不仅仅是反击对美国发动的网络攻击

德国基础关键设施在2018年受到的网络攻击数量激增

报告涉及的领域包括能源、水、卫生、食品、电信、交通、金融和政府。然而,威胁到发电厂的网络攻击才是真正....
的头像 E安全 发表于 02-20 16:31 830次 阅读
德国基础关键设施在2018年受到的网络攻击数量激增

如何面对网络安全的AI攻防战

AI研究集团OpenAI上个月发表了一项不同寻常的声明: 它表示自己已经构建了一个基于AI的内容创作....
发表于 01-14 11:26 306次 阅读
如何面对网络安全的AI攻防战

新思科技发布最新版Coverity 静态应用安全测试解决方案

美国新思科技公司 宣布发布其最新版的Coverity静态应用安全测试(SAST)解决方案,这能帮助各....
的头像 人间烟火123 发表于 01-14 11:18 2160次 阅读
新思科技发布最新版Coverity 静态应用安全测试解决方案

未雨绸缪,防患于未然 新思科技剖析2019年软件安全趋势

近年来,云计算、人工智能(AI)、机器学习(ML)、物联网(IoT)和大数据在很大程度上推动了企业运....
的头像 人间烟火123 发表于 01-14 11:10 3603次 阅读
未雨绸缪,防患于未然  新思科技剖析2019年软件安全趋势