如果并購交易涉及到軟件，那在目標(biāo)代碼庫中識(shí)別開源組件就至關(guān)重要。并購交易運(yùn)作過程中，代碼所含內(nèi)容至關(guān)重要。應(yīng)用中未被發(fā)現(xiàn)的開源可能導(dǎo)致代價(jià)高昂的許可證違規(guī)。這些以及專有、開源和其他第三方軟件中的安全漏洞可能會(huì)對(duì)軟件資產(chǎn)的價(jià)值產(chǎn)生重大負(fù)面影響。在滿足并購盡職調(diào)查要求方面，光靠軟件組成分析(SCA)還不夠，開源審計(jì)能提供更多保障。

開源無處不在。多年來研究人員一直關(guān)注開源使用的增長，但由于現(xiàn)在開源十分普遍，他們對(duì)建立在開源組件基礎(chǔ)上的應(yīng)用安全愈發(fā)擔(dān)憂。使用開源組件需要遵循開源許可，許多公司已經(jīng)深刻意識(shí)到如果不滿足這些規(guī)則要求，則會(huì)面臨法律的風(fēng)險(xiǎn)。因此，在涉及技術(shù)并購的交易中，開源安全性和許可證合規(guī)性是收購方和目標(biāo)公司的主要關(guān)注點(diǎn)之一。

這些公司可以通過執(zhí)行軟件組成分析(SCA)來追蹤他們使用的開源。SCA是一種可識(shí)別應(yīng)用中使用的第三方代碼的自動(dòng)化流程，能夠發(fā)現(xiàn)在代碼庫中與開源相關(guān)的未修補(bǔ)的代碼、許可證和潛在的安全漏洞。然而，在涉及軟件的并購交易中，利益相關(guān)者們需要對(duì)代碼庫中的開源進(jìn)行更為嚴(yán)格和快捷的評(píng)估，而這光依靠SCA工具是無法做到的。

為什么SCA還不足以用來評(píng)估并購過程中的開源?

自動(dòng)化的SCA工具有助于單個(gè)公司監(jiān)測和識(shí)別自用的開源組件和框架結(jié)構(gòu)。調(diào)研機(jī)構(gòu)451 Research有一篇報(bào)告詳細(xì)闡述了并購交易中SCA的使用案例。成立不久的公司往往會(huì)將新的應(yīng)用快速推向市場，因此他們?cè)絹碓蕉嗟厥褂瞄_源。經(jīng)常使用自動(dòng)化的SCA工具能夠幫助這些公司進(jìn)行漏洞追蹤、補(bǔ)丁管理和確保許可證的合規(guī)性。當(dāng)SCA工具直接集成到開發(fā)工作流時(shí)將發(fā)揮最大效用，讓開發(fā)團(tuán)隊(duì)不用以犧牲速度為代價(jià)來減輕開源的風(fēng)險(xiǎn)。

但是企業(yè)使用不同的SCA工具，得到的分析結(jié)果也有差異，他們可能會(huì)遺漏一些潛藏的代碼。依賴項(xiàng)掃描可以很好地發(fā)現(xiàn)已公開的開源代碼，但是未在軟件包管理器中公布、只是作為部分、或已修改組件引入的開源代碼則可能會(huì)完全遺漏。此外，開源代碼還可以通過復(fù)制粘貼開源代碼“片段”，將其納入代碼中。盡管這看上去只是整個(gè)代碼庫的一小部分，該代碼仍需要遵循其來源組件的許可義務(wù)，同時(shí)，在并購盡職調(diào)查中應(yīng)該加以體現(xiàn)。

因此，在并購交易中，合規(guī)責(zé)任轉(zhuǎn)移到了收購一方，他們需要關(guān)注目標(biāo)公司代碼庫中知識(shí)產(chǎn)權(quán)所攜帶的潛在開源風(fēng)險(xiǎn)。

為什么并購交易中的企業(yè)需要開源審計(jì)而不是自動(dòng)化的掃描工具?

收購公司無法輕易對(duì)目標(biāo)公司的代碼庫進(jìn)行自動(dòng)化SCA掃描。首先，并購交易尚未完成前，目標(biāo)公司不會(huì)將其源代碼移交給收購方;其次，自動(dòng)化SCA掃描集成到開發(fā)工作流中時(shí)才能發(fā)揮最大效用，從而使得企業(yè)能夠監(jiān)測軟件構(gòu)建的過程;最后，以完成并購交易為目的而對(duì)掃描結(jié)果進(jìn)行的評(píng)估和研究需要更多時(shí)間和更高專業(yè)性，這可能是并購團(tuán)隊(duì)無法做到的。

想要?jiǎng)?chuàng)建一個(gè)高度精準(zhǔn)和詳盡的、包含代碼庫中所有開源的軟件物料清單(BoM)，并且在交易的時(shí)間表內(nèi)完成，最佳的辦法是借助第三方來進(jìn)行開源審計(jì)。

一個(gè)典型的代碼庫包含多少開源組件?

新思科技公司近日發(fā)布了《2020年開源安全和風(fēng)險(xiǎn)分析》報(bào)告(OSSRA)。該報(bào)告研究了由Black Duck審計(jì)服務(wù)團(tuán)隊(duì)執(zhí)行的對(duì)超過1,250個(gè)商業(yè)代碼庫的審計(jì)結(jié)果。其中開源占所有代碼的70%。這意味著我們掃描的每個(gè)代碼庫中平均有三分之二以上包含開源組件。

需要特別注意的是，Black Duck審計(jì)的一個(gè)主要用處就是并購盡職調(diào)查，OSSRA報(bào)告中的數(shù)據(jù)可以作為并購交易中體現(xiàn)開源趨勢的一項(xiàng)指標(biāo)。

為什么企業(yè)使用這么多開源?

正如451 Research報(bào)告所述，更快速、更頻繁的應(yīng)用軟件交付趨勢不會(huì)在短期內(nèi)消失：“在這些應(yīng)用程序中使用開源組件已不再是一個(gè)新奇的想法?，F(xiàn)在有很多開發(fā)人員使用由第三方編寫的免費(fèi)代碼，這也是客戶的交付需求促使的?！?

新思科技OSSRA報(bào)告闡明了開源審計(jì)所揭露的相關(guān)風(fēng)險(xiǎn)：

· 掃描的代碼庫中超過99%都包含開源，平均每個(gè)代碼庫有445個(gè)開源組件

· 67%的代碼庫包含某種形式的開源代碼許可證沖突，33%的代碼庫包含沒有可識(shí)別許可證的開源組件。

· 75%的代碼庫包含至少一個(gè)開源代碼漏洞，而 49%的代碼庫包含高風(fēng)險(xiǎn)漏洞

在并購中若不進(jìn)行開源評(píng)估，將會(huì)面臨哪些風(fēng)險(xiǎn)?

在并購交易中，開源采用率增加的趨勢會(huì)引起兩個(gè)主要問題：首先，企業(yè)必須了解他們將獲得的軟件中開源的內(nèi)容和數(shù)量，以評(píng)估其新收購的知識(shí)產(chǎn)權(quán)的潛在風(fēng)險(xiǎn);其次，他們必須在交易之前了解這樣的風(fēng)險(xiǎn)情況，以把控他們的投資回報(bào)率，并對(duì)交易后所需要的補(bǔ)救成本進(jìn)行規(guī)劃。

不了解這些風(fēng)險(xiǎn)可能會(huì)付出高昂的代價(jià)。假設(shè)您正在收購Equifax，但沒有執(zhí)行開源工作。那會(huì)發(fā)生什么?眾所周知，在2017年導(dǎo)致超過1.4億人的個(gè)人數(shù)據(jù)泄露的安全事件，正是由Apache Struts框架中一個(gè)未修補(bǔ)的開源漏洞引起的。Equifax 至今已付出了14億美元的高昂代價(jià)，而因該漏洞造成的影響遠(yuǎn)不止在金錢方面。

事實(shí)上，Equifax處理Apache Struts漏洞修復(fù)的速度遠(yuǎn)遠(yuǎn)快于平均水平。2014年，新思科技揭露了Heartbleed漏洞，而這個(gè)漏洞目前仍然是一個(gè)全球性的安全問題。

結(jié)合OSSRA報(bào)告和451 Research報(bào)告不難發(fā)現(xiàn)：開源采用率的增長不會(huì)在短期內(nèi)放緩，因此涉及軟件的并購風(fēng)險(xiǎn)越來越高。并購專業(yè)人士必須了解所購軟件的全部風(fēng)險(xiǎn)狀況。