新思科技:开源审计是技术并购交易成功的秘诀

作者:波球直播足球高清 来源:波球体育在线直播 发布时间:2024-11-13 13:24:36

  如果并购交易涉及到软件,那在目标代码库中识别开源组件就至关重要。并购交易运作过程中,代码所含内容至关重要。应用中未被发现的开源可能会引起代价高昂的许可证违规。这些以及专有、开源和其他第三方软件中的安全漏洞可能会对软件资产的价值产生重大负面影响。在满足并购尽职调查要求方面,光靠软件组成分析(SCA)还不够,开源审计能提供更多保障。

  开源无处不在。多年来研究人员一直关注开源使用的增长,但由于现在开源十分普遍,他们对建立在开源组件基础上的应用安全愈发担忧。使用开源组件需要遵循开源许可,许多公司已深刻意识到如果不满足这些规则要求,则会面临法律的风险。因此,在涉及技术并购的交易中,开源安全性和许可证合规性是收购方和目标公司的主要关注点之一。

  这些企业能通过执行软件组成分析(SCA)来追踪他们使用的开源。SCA是一种可识别应用中使用的第三方代码的自动化流程,能够发现在代码库中与开源相关的未修补的代码、许可证和潜在的安全漏洞。然而,在涉及软件的并购交易中,利益相关者们需要对代码库中的开源进行更为严格和快捷的评估,而这光依靠SCA工具是无法做到的。

  自动化的SCA工具有助于单个公司监测和识别自用的开源组件和框架结构。调研机构451 Research有一篇报告详细阐述了并购交易中SCA的使用案例。成立不久的公司往往会将新的应用快速推向市场,因此他们越来越多地使用开源。经常使用自动化的SCA工具能够帮助这些公司进行漏洞追踪、补丁管理和确保许可证的合规性。当SCA工具直接集成到开发工作流时将发挥最大效用,让开发团队不用以牺牲速度为代价来减轻开源的风险。

  但是企业使用不同的SCA工具,得到的分析结果也有差异,他们可能会遗漏一些潜藏的代码。依赖项扫描可以很好地发现已公开的开源代码,但是未在软件包管理器中公布、只是作为部分、或已修改组件引入的开源代码则可能会完全遗漏。此外,开源代码还能够最终靠复制粘贴开源代码“片段”,将其纳入代码中。尽管这看上去只是整个代码库的一小部分,该代码仍需要遵循其来源组件的许可义务,同时,在并购尽职调查中应该加以体现。

  因此,在并购交易中,合规责任转移到了收购一方,他们需要关注目标公司代码库中知识产权所携带的潜在开源风险。

  收购公司无法轻易对目标公司的代码库进行自动化SCA扫描。首先,并购交易尚未完成前,目标公司不会将其源代码移交给收购方;其次,自动化SCA扫描集成到开发工作流中时才能发挥最大效用,从而使得企业能够监测软件构建的过程;最后,以完成并购交易为目的而对扫描结果进行的评估和研究需要更多时间和更高专业性,这可能是并购团队没办法做到的。

  想要创建一个高度精准和详尽的、包含代码库中所有开源的软件物料清单(BoM),并且在交易的时间表内完成,最佳的办法是借助第三方来进行开源审计。

  新思科技公司近日发布了《2020年开源安全和风险分析》报告(OSSRA)。该报告研究了由Black Duck审计服务团队执行的对超过1,250个商业代码库的审计结果。其中开源占所有代码的70%。这意味着我们扫描的每个代码库中平均有三分之二以上包含开源组件。

  需要特别注意的是,Black Duck审计的一个主要用处就是并购尽职调查,OSSRA报告中的数据可以作为并购交易中体现开源趋势的一项指标。

  正如451 Research报告所述,更快速、更频繁的应用软件交付趋势不会在短期内消失:“在这些应用程序中使用开源组件已不再是一个新奇的想法。现在有很多开发人员使用由第三方编写的免费代码,这也是客户的交付需求促使的。”

  67%的代码库包含某种形式的开源代码许可证冲突,33%的代码库包含没有可识别许可证的开源组件。

  在并购交易中,开源采用率增加的趋势会引起两个主要问题:首先,企业必须了解他们将获得的软件中开源的内容和数量,以评估其新收购的知识产权的潜在风险;其次,他们必须在交易之前了解这样的风险情况,以把控他们的投资回报率,并对交易后所需要的补救成本进行规划。

  不了解这些风险可能会付出高昂的代价。假设您正在收购Equifax,但没有执行开源工作。那会发生什么?众所周知,在2017年导致超过1.4亿人的个人数据泄露的安全事件,正是由Apache Struts框架中一个未修补的开源漏洞引起的。Equifax至今已付出了14亿美元的高昂代价,而因该漏洞造成的影响远不止在金钱方面。

  事实上,Equifax处理Apache Struts漏洞修复的速度远远快于平均水平。2014年,新思科技揭露了Heartbleed漏洞,而这个漏洞目前仍然是一个全球性的安全问题。

  美高森美(Microsemi)和Synopsys近日宣布延续其多年OEM协议,合作为美高森美的FPGA客户提供客制化的可程序设计逻辑组件(FPGA) 综合工具。 两家公司最近在美高森美于2月发布的新型成本优化、低功耗PolarFire中等规模FPGA上展开合作,Synopsys还在该组件的早期使用计划期间,为美高森美提供支持。 美高森美软件工程副总裁Jim Davis表示,延续该公司与Synopsys团队的长期关系,使该公司能够继续利用该公司丰富而专业的综合技术,同时使美高森美的工程资源,能够集中于支持FPGA组件独有的先进特点及能力。 Synopsys的Synplify Pro综合软件及Identify RTL除错器,均整合到美

  软件,不管是由谁构建的,都很容易受到漏洞攻击,随着我们的世界越来越依赖数字化,更多的软件被编写,更多的漏洞也将会出现。现在,开源可以说是构建软件应用的基础。如果没有有效的方法来跟踪和管理开源,企业将面临使用开源所带来的安全、许可证合规性和代码质量风险。 自2005年起,NVD漏洞数据库每年都报告4,000 ~ 8,000个新漏洞,但是这一数字在2017年激增至14,645,2018年增至16,511,2019年则增至17,306。 尽管开源软件的漏洞少于专有软件,但是开源安全问题不容忽视。新思科技公司发布的《2020年开源安全和风险分析》报告(OSSRA)发现经过审计的代码库中,75%包含具有已知安全漏洞的开源组件,

  :发布高质、安全的软件,企业需要解决这些问题 /

  95%的应用存在漏洞,其中25%受到严重或高风险漏洞影响 对于软件安全计划负责人来说,深入了解软件风险可以帮助他们做好安全规划,实现安全工作的战略性改进。 新思科技(Synopsys, Nasdaq: SNPS)近日发布了《2022年软件漏洞快照》报告。该报告审查了对 2,700多 个目标软件进行的 4,300 多次安全测试的结果,包括 Web 应用、移动应用、源代码文件和网络系统(即软件或系统)。大多数安全测试是侵入式“黑盒”或“灰盒”测试,包括渗透测试、动态应用安全测试 (DAST) 和移动应用安全测试 (MAST),旨在探测在真实环境不法分子会如何攻击正在运行的应用。 研究发现,82% 的测试目标是 Web

  发布《2022年软件漏洞快照》报告 /

  2018年5月31日,中国 北京——全球第一大芯片自动化设计解决方案提供商及全球第一大芯片接口IP供应商、信息安全和软件质量的全球领导者Synopsys(NASDAQ: SNPS)宣布,Synopsys Design Platform已通过全球领先半导体技术企业三星电子的工艺认证,支持三星代工部门的8nm LPP(低功耗+)工艺。Synopsys Design Platform可以为8LPP工艺的多次图形曝光光刻技术和全颜色感知变化技术,提供完整的全流程支持。Synopsys的SiliconSmart®库表征工具是开发认证过程和参考流程所需基础IP的关键。认证过程还包括一套与Synopsys Lynx设计系统兼容的可扩展参考流程,

  新思科技在“现有产品”类别位列第二,在“策略”及“市场占有率”并列第二 为了在加速开发的同时,提升安全和质量水平,开发和安全团队往往会借助静态应用安全测试解决方案以在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。 近日, 新思科技宣布其在Forrester WaveTM发布的《2023年第三季度静态应用安全测试》报告中被评为领导者 。报告分析了11家在静态应用安全测试(SAST)市场极具影响力的供应商,并且根据三个高级类别中的26条标准对他们进行评估:现有产品、策略和市场占有率。新思科技Coverity®静态应用安全测试解决方案在“现有产品”类别位列第二

  静态应用安全测试解决方案再获国际独立市场调查研究机构认可 /

  开创性将虚拟原型这一先进技术拓展到汽车电子领域,为汽车行业带来了全新的方法学,重新定义智能汽车的研发流程,大幅提升效率 新思科技Virtualizer开发工具包支持在芯片上市之前18个月就进行软件开发,以及将测试从物理环境转移至虚拟环境 新思科技与英飞凌的合作侧重于面向汽车用户建模、软件开发和交付VDK 新思科技( Synopsys, Inc. ,纳斯达克股票代码:SNPS)近日宣布携手英飞凌共同拓展汽车卓越中心,从而加速汽车电子系统的开发,并为英飞凌的第三代AURIX™微控制器系列交付新思科技Virtualizer™开发工具包(简称“VDK”)。 通过使用新思科技提供的虚拟原型开发技术(Virtual P

  与英飞凌基于虚拟开发技术 拓展汽车卓越中心 /

  德赛西威(深圳证券交易所股票代码:002920)和新思科技 (Synopsys, Inc.,纳斯达克股票市场代码:SNPS)今日联合宣布展开合作:通过使用新思科技提供的虚拟原型开发技术(Virtual Prototyping ),全面提升智能汽车的设计、研发和测试的效率。该技术为汽车行业带来了全新的方法学,重新定义智能汽车的研发流程,大幅度的提高研发效率。德赛西威将把该技术应用于包括智能座舱和ADAS在内的所有复杂电子系统的虚拟开发和测试。 德赛西威总经理高大鹏表示,“汽车智能化对我们客户的产品的质量和交付周期都提出了更高的要求,这是一个机遇和挑战并存的时代,我们一定要从创新入手,为客户提供高智能、更具竞争力和安全性的汽车电子科技类产品和服务

  ----步入汽车电子虚拟开发新时代 /

  • DesignWare ARC HS34和HS36内核是一个全新的、基于扩展ARCv2架构的高速、低功耗处理器系列的首批成员。 • 全新32位内核提供超过4200DMIPS的性能,而功耗小于85毫瓦,同时在采用典型28纳米工艺时的硅片面积仅为0.15平方毫米。 • 高度可配置性使用户能针对其特定嵌入式应用定制他们的内核,如连网设备、汽车、固态硬盘(SSD)和家庭网络等应用。 • 定制化指令可以让设计师把专有的硬件加速器集成到处理器之中,以优化整体系统性能并缩减内存的大小。 • 开放式架构支持内存紧耦合和直接映射的外设,使系统延迟降至最低并同时降低功耗和芯片面积。 • 由Synopsys和第三方合作伙伴提供的软件开

  东芝1200V SIC SBD “TRSxxx120Hx系列” 助力工业电源设备高效

  2024 瑞萨电子MCU/MPU工业技术研讨会——深圳、上海站, 火热报名中

  Follow me第二季第4期来啦!与得捷一起解锁蓝牙/Wi-Fi板【Arduino Nano RP2040 Connect】超能力!

  嵌入式工程师AI挑战营(进阶):基于RV1106部署InsightFace算法,实现多人的实时人脸识别

  SEMI:2024Q3 全球硅晶圆出货面积同比增长 6.8%、环比增长 5.9%

  11 月 13 日消息,半导体行业协会 SEMI 旗下 SMG 美国加州当地时间昨日发布了新一期的硅晶圆季度分析报告。该报告数据显示今年三季度全 ...

  台积电的 5nm 和 3nm 工艺是该公司在市场上最热门的产品之一,据报道,这家台湾巨头的利用率达到了 100%。众所周知,台积电是迄今为 ...

  LG Display 成功开发出全球首款可扩展 50% 的可拉伸显示屏

  LG Display 推出全球首款可伸缩显示屏,其伸缩率高达 50%,是目前业内伸缩率最高的显示屏。 11 月 8 日在首尔 LG 科技园,该公司 ...

  英飞凌2024财年第四季度营收和利润均有增长; 2025财年市场疲软,预期有所降低

  英飞凌2024财年第四季度营收和利润均有增长;2025财年市场疲软,预期有所降低2024财年第四季度:营收为39 19亿欧元,利润达8 32亿欧元,利 ...

  光刻胶巨头 JSR 韩国 EUV 用 MOR 光刻胶生产基地开建,预计 2026 年投产

  11 月 12 日消息,据韩国产业通商资源部官网新闻稿,半导体光刻胶巨头日本 JSR 今日在韩国忠清北道清州举行 MOR(IT之家注:金属氧化 ...

  新思科技携手ZAP亮相2024进博会:助力全球首创无屏蔽放疗手术机器人实现

  铠侠将开发新型 CXL 接口存储器:功耗、位密度优于 DRAM、读取快于 NAND

   使用 Analog Devices 的 LTC3803MPS6-3 的参考设计

   使用 ROHM Semiconductor 的 BA18BC0T 的参考设计

   使用 ON Semiconductor 的 FAN7563 的参考设计

  CPS22-NC00A10-SNCCWTWF-AI0RDVAR-W1066-S

  Rambus宣布推出业界首款HBM4控制器IP,加速下一代AI工作负载

  有奖直播:ADI数字主动降噪耳机方案 8月6日上午10:00-11:30 邀您聆听让技术为我们静下来

  【投票瓜分2500元红包】2022得捷电子创新设计大赛优秀作品人气奖由你来定!

  三星发布了Exynos 1080旗舰芯片:5纳米EUV工艺 vivo首发

  苹果M1芯片MacBook Pro跑分解密:单核1714,多核6802

  TrendForce:M1芯片助力,预计2021年MacBook出货量创新高

  市场动态半导体生产材料技术封装测试工艺设备光伏产业平板显示EDA与IP电子制造视频教程