如果交易中包含软件,务必要弄清楚代码的内容。及早了解目标代码库中的潜在开源风险、安全漏洞和代码质量问题可以保护交易的价值。如果在并购时未能察觉问题,则可能:
无论您是收购交易的哪一方,Synopsys 开源许可证合规性、软件安全和代码质量解决方案能支持您在交易中取得经济和声誉成功。
Black Duck 在仔细研究数千次并购交易之后,发现了与收购软件相关的潜在风险:
的代码库包含开源代码
的代码库存在许可证冲突
的代码库至少含有一个漏洞
扫到的漏洞平均已存在2.2年
致电审计热线
+1 781.425.4444 或填写以下表单。
Black Duck 审计可以使用这些审计服务识别并评估目标代码库中的所有开源和第三方组件、许可证和漏洞:
开源和第三方代码审计利用 Black Duck KnowledgeBase™ 为您提供目标代码库的完整开源物料清单 (BoM),显示所有开源组件以及相关的许可证义务和冲突分析。
OSRA 基于开源和第三方代码审计构建而成,提供代码库中开源风险的增强视图,涵盖已知的安全漏洞和维护风险。它可以作为高级别行动计划,排定研究和潜在修复行动的优先顺序。
WSRA 为您列举了应用使用的外部 Web 服务,深入介绍了潜在的法律和数据隐私风险。汇总报告帮助您快速评估三个关键类别的 Web 服务风险:治理、数据隐私和质量。
渗透测试(文明黑客)审计通过检查处于完全运行状态的应用来评估软件资产的安全稳定性。包括试探性风险分析,以便绕过安全控制程序(如 WAF 和输入验证),以及滥用业务逻辑和用户授权的行为,从而演示黑客如何获取访问权并造成损害。
SAST 审计结合了基于工具的自动扫描和源代码审计,能够系统地发现重大软件安全漏洞,如 SQL 注入、跨站点脚本、缓冲区溢出以及 OWASP Top 10 未纳入的漏洞。
SDR 根据行业最佳实践评估关键安全控制的设计(包括密码存储、身份和访问管理以及加密算法的使用),以确定其是否有任何错误的配置、弱点、滥用或遗漏。 SDR 在应用程序设计中发现与安全控制相关的系统缺陷;不需执行应用程序或代码的测试或分析。
无论您是准备接受收购,评估战略性采购的潜在目标,还是寻求建立数字资产的基准评估,充分了解软件资产的构成和完整性对于成功完成兼并或收购都至关重要。
451 项研究探讨了并购中的开源威胁管理问题
并购开源审计背后的秘密
开源软件审计的执行方式
Black Duck 审计