更快交付軟件產(chǎn)品意味著更多的開源組件
正如451 Research在其簡(jiǎn)報(bào)中指出的那樣,應(yīng)用程序需要更快推出市場(chǎng)���,迭代更加頻繁�����,這種趨勢(shì)將持續(xù)下去��。在這些應(yīng)用程序中使用開源組件已經(jīng)屢見不鮮?�,F(xiàn)在的開發(fā)人員在軟件開發(fā)生命周期的任何階段都可以方便地使用到第三方編寫好的免費(fèi)代碼���, 可以盡快交付軟件成品。
然而這種趨勢(shì)在并購(gòu)交易中會(huì)有雙重的擔(dān)憂:公司必須了解他們并購(gòu)回來(lái)的軟件中使用了哪些開源組件及其數(shù)量��,以評(píng)估是否存在知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)��;另外����,他們必須了解交易前的風(fēng)險(xiǎn)狀況,以保護(hù)投資回報(bào)率��,并計(jì)算交易后所需的補(bǔ)救成本���。
OSSRA報(bào)告顯示了:
- 96%被掃描的應(yīng)用中存在開源組件�,每個(gè)應(yīng)用中平均有 257個(gè)開源組件
- 2017年經(jīng)過(guò)審計(jì)的代碼庫(kù)中有85%存在許可證沖突或者未知許可證
- 78% 被檢查的代碼庫(kù)中至少包含一個(gè)漏洞,每個(gè)代碼庫(kù)平均包含 64個(gè)已知漏洞
安全漏洞產(chǎn)生的實(shí)際成本
舉個(gè)例子會(huì)更加清楚這一點(diǎn)���。想象一下��,有家公司在收購(gòu)Equifax�����,但是沒(méi)有進(jìn)行開源檢測(cè),那后果會(huì)怎樣����?Equifax由于安全漏洞問(wèn)題導(dǎo)致了超過(guò)1.4億人的個(gè)人數(shù)據(jù)遭到泄露,這已經(jīng)不是什么秘密��。這是由于Apache Struts框架中未修補(bǔ)的開源漏洞造成的后果��。到目前為止����,這個(gè)安全漏洞已經(jīng)讓Equifax蒙受超過(guò)4億美元的損失,并且負(fù)面影響遠(yuǎn)不止于此?���,F(xiàn)在���,我們?cè)俅竽懴胂笠幌拢?GDPR(《通用數(shù)據(jù)保護(hù)條例》)生效后,如果歐洲發(fā)生這種情況怎么辦�?那么這次收購(gòu)對(duì)投資回報(bào)率會(huì)有怎么樣的影響?
黑鴨子軟件和451 Research公司的研究都一致指出:開源的增長(zhǎng)勢(shì)頭在短時(shí)間內(nèi)不會(huì)放緩����。因此,并購(gòu)方評(píng)估所收購(gòu)的軟件是否安全的難度加大���,在全面了解投資風(fēng)險(xiǎn)上也面臨更大的挑戰(zhàn)����。
