并购尽职调查的许可证合规性和软件安全

在并购交易中识别软件风险

如果交易中包含软件,务必要弄清楚代码的内容。及早了解目标代码库中的潜在开源风险、安全漏洞和代码质量问题可以保护交易的价值。如果在并购时未能察觉问题,则可能:

  • 损害自有知识产权。
  • 给敏感数据带来风险。
  • 阻碍整体和整合运营。
  • 延长交易与整合时长。
  • 增加修补成本。

无论您是收购交易的哪一方,Synopsys 开源许可证合规性、软件安全和代码质量解决方案能支持您在交易中取得经济和声誉成功。

您知道吗?

Black Duck 在仔细研究数千次并购交易之后,发现了与收购软件相关的潜在风险:


  • 99%

    应用经过扫描发现含有开源组件。

  • 68%

    应用存在许可证冲突或未知许可证。

  • 298

    平均而言,每个应用程序都可以找到开源组件。

  • 60%

    应用程序至少含有一个已知安全漏洞。


开源安全与风险分析报告

有相关问题? 

致电审计热线
+1 781.425.4444 或填写以下表单。

250 / 250

不要只理解字面意思

了解 PointClickCare 如何使用 Black Duck 审计来了解将新公司纳入其业务组合的风险。

并购审计服务

Black Duck 审计可以使用这些审计服务识别并评估目标代码库中的所有开源和第三方组件、许可证和漏洞:

许可证合规性审计

开源和第三方代码审计

开源和第三方代码审计利用 Black Duck KnowledgeBase™ 为您提供目标代码库的完整开源物料清单 (BoM),显示所有开源组件以及相关的许可证义务和冲突分析。

开源风险评估

OSRA 基于开源和第三方代码审计构建而成,提供代码库中开源风险的增强视图,涵盖已知的安全漏洞和维护风险。它可以作为高级别行动计划,排定研究和潜在修复行动的优先顺序。

Web 服务和 API 风险审计

WSRA 为您列举了应用使用的外部 Web 服务,深入介绍了潜在的法律和数据隐私风险。汇总报告帮助您快速评估三个关键类别的 Web 服务风险:治理、数据隐私和质量。

了解更多

 

开源风险评估

渗透测试审计

渗透测试(文明黑客)审计通过检查处于完全运行状态的应用来评估软件资产的安全稳定性。包括试探性风险分析,以便绕过安全控制程序(如 WAF 和输入验证),以及滥用业务逻辑和用户授权的行为,从而演示黑客如何获取访问权并造成损害。 

静态应用安全测试审计

SAST 审计结合了基于工具的自动扫描和源代码审计,能够系统地发现重大软件安全漏洞,如 SQL 注入、跨站点脚本、缓冲区溢出以及 OWASP Top 10 未纳入的漏洞。

安全控制设计分析

SCDA 比照行业最佳实践,评估关键安全控制的设计,包括密码存储、身份和访问管理,以及密码学的运用,以确定是否存在错误配置、弱化、误用或丢失。SCDA 能够发现应用设计中关乎安全控制的系统缺陷;无需执行应用或代码的测试或分析。

了解更多

 

 

代码质量审计

定性代码质量审计

定性代码质量审计结合静态分析工具和手工代码审核,以分析代码质量。将结果与行业基准进行比较,以评估专有代码的质量、可重用性、可扩展性和可维护性。

定性代码质量审计

定性代码质量审计提供对组成软件开发生命周期 (SDLC) 的流程和实践的完整分析。其中包含改进质量并降低成本的建议。

加密审计

加密审计识别可能影响和限制所购软件合法导出的加密技术。其中包括对专有、开源和第三方软件中加密功能的详细分析。

了解更多

确保软件是资产,而非负债

无论您是准备接受收购,评估战略性采购的潜在目标,还是寻求建立数字资产的基准评估,充分了解软件资产的构成和完整性对于成功完成兼并或收购都至关重要。

451 项研究探讨了并购中的开源威胁管理问题

了解更多关于 Black Duck 并购审计