作者： 黑鴨按需審計(jì)部門市場(chǎng)營(yíng)銷總監(jiān)Shandra Gemmiti

注：美國(guó)新思科技公司 （Synopsys， Nasdaq： SNPS）已經(jīng)于2017年第四季度完成對(duì)黑鴨子軟件公司（Black Duck Software）的收購(gòu)。

為了對(duì)抗日漸猖獗的網(wǎng)絡(luò)攻擊，各大公司在安全領(lǐng)域的投資也隨之持續(xù)增加，包括并購(gòu)其它有相應(yīng)技術(shù)和軟件的公司。然而，并購(gòu)雙方的產(chǎn)品或者產(chǎn)品使用的第三方開(kāi)源組件是否是安全的，在完成交易之前都需要深度評(píng)估。

開(kāi)源無(wú)處不在。研究人員發(fā)現(xiàn)開(kāi)源組件的使用多年來(lái)一直處于增長(zhǎng)的狀態(tài)。由于開(kāi)源現(xiàn)在如此普及，他們?cè)絹?lái)越關(guān)注構(gòu)建在開(kāi)源組件基礎(chǔ)上的應(yīng)用程序的安全性。除了手動(dòng)跟蹤開(kāi)源組件的使用，企業(yè)只能通過(guò)軟件組件分析（SCA）工具以確定其代碼庫(kù)中的開(kāi)源組件。調(diào)研機(jī)構(gòu)451 Research公司將軟件組件分析定義為“對(duì)已經(jīng)內(nèi)置到應(yīng)用程序中的庫(kù)的識(shí)別，并且這個(gè)庫(kù)主要用的是第三方開(kāi)源組件”。此識(shí)別功能可幫助企業(yè)發(fā)現(xiàn)未修補(bǔ)的代碼，許可問(wèn)題以及由于使用開(kāi)源而可能存在于代碼庫(kù)中的潛在安全漏洞。

為什么要使用軟件組件分析？

軟件組件分析最常見(jiàn)的用途是公司用來(lái)監(jiān)控和識(shí)別自己使用的開(kāi)源組件和框架。但經(jīng)過(guò)詳細(xì)研究和案例收集，451 Research發(fā)現(xiàn)，軟件組件分析主要用途是在兼并和收購(gòu)（M＆A）領(lǐng)域。

很多初創(chuàng)公司會(huì)迅速將新應(yīng)用推向市場(chǎng)，他們使用越來(lái)越多的開(kāi)源組件。因此，在并購(gòu)交易中，收購(gòu)方要承擔(dān)軟件安全性的責(zé)任，由于開(kāi)源管理仍然相對(duì)不成熟，他們需要借助工具分析被收購(gòu)方的產(chǎn)品潛在的風(fēng)險(xiǎn)以及這些代碼庫(kù)中的知識(shí)產(chǎn)權(quán)。

清楚了解在企業(yè)應(yīng)用程序中開(kāi)源組件的使用

有很多統(tǒng)計(jì)數(shù)據(jù)顯示在典型軟件應(yīng)用程序中有多少開(kāi)源組件。但是，這些數(shù)據(jù)可能并不全面，會(huì)產(chǎn)生誤解。為了更清楚地了解企業(yè)使用開(kāi)源組件的增長(zhǎng)趨勢(shì)，我們應(yīng)該考慮新應(yīng)用程序中開(kāi)源的百分比。

新思科技公司發(fā)布的《2018 年開(kāi)源代碼安全和風(fēng)險(xiǎn)分析》（OSSRA）報(bào)告指出平均每個(gè)代碼庫(kù)由57％的開(kāi)源組件。該報(bào)告分析了2017年經(jīng)過(guò)審計(jì)的1，100多個(gè)商業(yè)代碼庫(kù)中的匿名數(shù)據(jù)。這就意味著我們掃描的每個(gè)代碼庫(kù)中有一半以上是由開(kāi)源組件組成的。值得一提的是，黑鴨開(kāi)源審計(jì)重要的案例包括并購(gòu)交易的盡職調(diào)查。有鑒于此，OSSRA報(bào)告中的數(shù)據(jù)可以成為并購(gòu)交易中開(kāi)源趨勢(shì)的關(guān)鍵參考。

更快交付軟件產(chǎn)品意味著更多的開(kāi)源組件

正如451 Research在其簡(jiǎn)報(bào)中指出的那樣，應(yīng)用程序需要更快推出市場(chǎng)，迭代更加頻繁，這種趨勢(shì)將持續(xù)下去。在這些應(yīng)用程序中使用開(kāi)源組件已經(jīng)屢見(jiàn)不鮮?，F(xiàn)在的開(kāi)發(fā)人員在軟件開(kāi)發(fā)生命周期的任何階段都可以方便地使用到第三方編寫好的免費(fèi)代碼， 可以盡快交付軟件成品。

然而這種趨勢(shì)在并購(gòu)交易中會(huì)有雙重的擔(dān)憂：公司必須了解他們并購(gòu)回來(lái)的軟件中使用了哪些開(kāi)源組件及其數(shù)量，以評(píng)估是否存在知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)；另外，他們必須了解交易前的風(fēng)險(xiǎn)狀況，以保護(hù)投資回報(bào)率，并計(jì)算交易后所需的補(bǔ)救成本。

OSSRA報(bào)告顯示了：

96%被掃描的應(yīng)用中存在開(kāi)源組件，每個(gè)應(yīng)用中平均有 257個(gè)開(kāi)源組件

2017年經(jīng)過(guò)審計(jì)的代碼庫(kù)中有85%存在許可證沖突或者未知許可證

78% 被檢查的代碼庫(kù)中至少包含一個(gè)漏洞，每個(gè)代碼庫(kù)平均包含 64個(gè)已知漏洞

安全漏洞產(chǎn)生的實(shí)際成本

舉個(gè)例子會(huì)更加清楚這一點(diǎn)。想象一下，有家公司在收購(gòu)Equifax，但是沒(méi)有進(jìn)行開(kāi)源檢測(cè)，那后果會(huì)怎樣？Equifax由于安全漏洞問(wèn)題導(dǎo)致了超過(guò)1.4億人的個(gè)人數(shù)據(jù)遭到泄露，這已經(jīng)不是什么秘密。這是由于Apache Struts框架中未修補(bǔ)的開(kāi)源漏洞造成的后果。到目前為止，這個(gè)安全漏洞已經(jīng)讓Equifax蒙受超過(guò)4億美元的損失，并且負(fù)面影響遠(yuǎn)不止于此?，F(xiàn)在，我們?cè)俅竽懴胂笠幌拢?GDPR（《通用數(shù)據(jù)保護(hù)條例》）生效后，如果歐洲發(fā)生這種情況怎么辦？那么這次收購(gòu)對(duì)投資回報(bào)率會(huì)有怎么樣的影響？

黑鴨子軟件和451 Research公司的研究都一致指出：開(kāi)源的增長(zhǎng)勢(shì)頭在短時(shí)間內(nèi)不會(huì)放緩。因此，并購(gòu)方評(píng)估所收購(gòu)的軟件是否安全的難度加大，在全面了解投資風(fēng)險(xiǎn)上也面臨更大的挑戰(zhàn)。