新思科技公司发布的《2018 年开源代码安全和风险分析》(OSSRA)报告指出平均每个代码库由57%的开源组件。该报告分析了2017年经过审计的1,100多个商业代码库中的匿名数据。这就意味着我们扫描的每个代码库中有一半以上是由开源组件组成的。值得一提的是,黑鸭开源审计重要的案例包括并购交易的尽职调查。有鉴于此,OSSRA报告中的数据可以成为并购交易中开源趋势的关键参考。
更快交付软件产品意味着更多的开源组件
正如451 Research在其简报中指出的那样,应用程序需要更快推出市场,迭代更加频繁,这种趋势将持续下去。在这些应用程序中使用开源组件已经屡见不鲜。现在的开发人员在软件开发生命周期的任何阶段都可以方便地使用到第三方编写好的免费代码, 可以尽快交付软件成品。
然而这种趋势在并购交易中会有双重的担忧:公司必须了解他们并购回来的软件中使用了哪些开源组件及其数量,以评估是否存在知识产权风险;另外,他们必须了解交易前的风险状况,以保护投资回报率,并计算交易后所需的补救成本。
OSSRA报告显示了:
- 96%被扫描的应用中存在开源组件,每个应用中平均有 257个开源组件
- 2017年经过审计的代码库中有85%存在许可证冲突或者未知许可证
- 78% 被检查的代码库中至少包含一个漏洞,每个代码库平均包含 64个已知漏洞
安全漏洞产生的实际成本
举个例子会更加清楚这一点。想象一下,有家公司在收购Equifax,但是没有进行开源检测,那后果会怎样?Equifax由于安全漏洞问题导致了超过1.4亿人的个人数据遭到泄露,这已经不是什么秘密。这是由于Apache Struts框架中未修补的开源漏洞造成的后果。到目前为止,这个安全漏洞已经让Equifax蒙受超过4亿美元的损失,并且负面影响远不止于此。现在,我们再大胆想象一下: GDPR(《通用数据保护条例》)生效后,如果欧洲发生这种情况怎么办?那么这次收购对投资回报率会有怎么样的影响?
黑鸭子软件和451 Research公司的研究都一致指出:开源的增长势头在短时间内不会放缓。因此,并购方评估所收购的软件是否安全的难度加大,在全面了解投资风险上也面临更大的挑战。