作者： 黑鴨按需審計部門市場營銷總監Shandra Gemmiti

注：美國新思科技公司 （Synopsys， Nasdaq： SNPS）已經于2017年第四季度完成對黑鴨子軟件公司（Black Duck Software）的收購。

為了對抗日漸猖獗的網絡攻擊，各大公司在安全領域的投資也隨之持續增加，包括并購其它有相應技術和軟件的公司。然而，并購雙方的產品或者產品使用的第三方開源組件是否是安全的，在完成交易之前都需要深度評估。

開源無處不在。研究人員發現開源組件的使用多年來一直處于增長的狀態。由于開源現在如此普及，他們越來越關注構建在開源組件基礎上的應用程序的安全性。除了手動跟蹤開源組件的使用，企業只能通過軟件組件分析（SCA）工具以確定其代碼庫中的開源組件。調研機構451 Research公司將軟件組件分析定義為“對已經內置到應用程序中的庫的識別，并且這個庫主要用的是第三方開源組件”。此識別功能可幫助企業發現未修補的代碼，許可問題以及由于使用開源而可能存在于代碼庫中的潛在安全漏洞。

為什么要使用軟件組件分析？

軟件組件分析最常見的用途是公司用來監控和識別自己使用的開源組件和框架。但經過詳細研究和案例收集，451 Research發現，軟件組件分析主要用途是在兼并和收購（M＆A）領域。

很多初創公司會迅速將新應用推向市場，他們使用越來越多的開源組件。因此，在并購交易中，收購方要承擔軟件安全性的責任，由于開源管理仍然相對不成熟，他們需要借助工具分析被收購方的產品潛在的風險以及這些代碼庫中的知識產權。

清楚了解在企業應用程序中開源組件的使用

有很多統計數據顯示在典型軟件應用程序中有多少開源組件。但是，這些數據可能并不全面，會產生誤解。為了更清楚地了解企業使用開源組件的增長趨勢，我們應該考慮新應用程序中開源的百分比。

新思科技公司發布的《2018 年開源代碼安全和風險分析》（OSSRA）報告指出平均每個代碼庫由57％的開源組件。該報告分析了2017年經過審計的1，100多個商業代碼庫中的匿名數據。這就意味著我們掃描的每個代碼庫中有一半以上是由開源組件組成的。值得一提的是，黑鴨開源審計重要的案例包括并購交易的盡職調查。有鑒于此，OSSRA報告中的數據可以成為并購交易中開源趨勢的關鍵參考。

更快交付軟件產品意味著更多的開源組件

正如451 Research在其簡報中指出的那樣，應用程序需要更快推出市場，迭代更加頻繁，這種趨勢將持續下去。在這些應用程序中使用開源組件已經屢見不鮮。現在的開發人員在軟件開發生命周期的任何階段都可以方便地使用到第三方編寫好的免費代碼， 可以盡快交付軟件成品。

然而這種趨勢在并購交易中會有雙重的擔憂：公司必須了解他們并購回來的軟件中使用了哪些開源組件及其數量，以評估是否存在知識產權風險；另外，他們必須了解交易前的風險狀況，以保護投資回報率，并計算交易后所需的補救成本。

OSSRA報告顯示了：

96%被掃描的應用中存在開源組件，每個應用中平均有 257個開源組件

2017年經過審計的代碼庫中有85%存在許可證沖突或者未知許可證

78% 被檢查的代碼庫中至少包含一個漏洞，每個代碼庫平均包含 64個已知漏洞

安全漏洞產生的實際成本

舉個例子會更加清楚這一點。想象一下，有家公司在收購Equifax，但是沒有進行開源檢測，那后果會怎樣？Equifax由于安全漏洞問題導致了超過1.4億人的個人數據遭到泄露，這已經不是什么秘密。這是由于Apache Struts框架中未修補的開源漏洞造成的后果。到目前為止，這個安全漏洞已經讓Equifax蒙受超過4億美元的損失，并且負面影響遠不止于此。現在，我們再大膽想象一下： GDPR（《通用數據保護條例》）生效后，如果歐洲發生這種情況怎么辦？那么這次收購對投資回報率會有怎么樣的影響？

黑鴨子軟件和451 Research公司的研究都一致指出：開源的增長勢頭在短時間內不會放緩。因此，并購方評估所收購的軟件是否安全的難度加大，在全面了解投資風險上也面臨更大的挑戰。