ソフトウェアが取引に含まれる場合、コードの内容を把握していることが重要です。ターゲット・コードベースに含まれている可能性があるオープンソース・リスク、セキュリティの欠陥、コード品質の問題を早期に把握することにより、取引の価値が損なわれるのを防ぎます。合併・買収に際して問題を未検出のまま放置することにより、以下のような事態が引き起こされる可能性があります。
ブラック・ダックでは、オープンソースのライセンス・コンプライアンス、ソフトウェア・セキュリティ、コード品質の各ソリューションを用意し、財務と評判の面で買収の両当事者の成功を支援します。
1,000件を超えるBlack Duck監査の実績により、ソフトウェアの買収に伴う以下のリスクの可能性を明らかにします。
スキャンされたアプリケーションにオープンソース・コンポーネントが含まれている割合
ライセンスの競合または未知のライセンスが存在するアプリケーションの割合
既知のセキュリティ脆弱性が1つ以上存在するアプリケーションの割合
検出された1アプリケーション当たりのオープンソース・コンポーネントの平均数
下のフォームにご記入ください。
Black Duck監査では、以下の監査サービスにより、ターゲット・コードベースに含まれるオープンソースおよびサードパーティーのあらゆるコンポーネント、ライセンス、脆弱性を特定し、評価することができます。
オープンソース/サードパーティ製コードの監査では、Black Duck KnowledgeBase™を活用して、対象コードベースのオープンソースの完全な部品表(BoM)を提示し、すべてのオープンソース・コンポーネントと関連するライセンス契約、およびコンフリクト解析を示します。
オープンソース・リスク評価(OSSRA)では、オープンソースとサードパーティ製コードの監査に基づき、既知のセキュリティ脆弱性やメンテナンス・リスクなど、コードベース内のオープンソース・リスクの拡張ビューを表示します。このビューは、高水準のアクションプランを提供し、調査と可能な対策の優先順位を示します。
Webサービス・リスク監査(WSRA)では、アプリケーションで使用されている外部Webサービスの一覧と、法律上およびデータ・プライバシー上の潜在的なリスクに関する分析をご提供します。Webサービスのリスクをガバナンス、データ・プライバシー保護、品質の3つの主要カテゴリーについて即座に評価できる概要レポートもご用意します。
ペネトレーション・テスト(エシカル・ハッキング)監査では、アプリケーションをフル稼働状態で検査することにより、ソフトウェア資産のセキュリティの堅牢性を評価します。この監査では、セキュリティ・コントロール(WAFや入力妥当性検証など)をバイパスする探索的リスク解析を行ったり、ビジネス・ロジックやユーザー認証の悪用を試行し、システムにアクセスして損害をもたらすハッカーの行動の実例を示します。
SAST監査では、ツールを利用した自動スキャンとソースコード・レビューを組み合わせて、SQLインジェクション、クロスサイト・スクリプティング、バッファ・オーバーフロー、その他のOWASP Top 10などの重大なソフトウェア・セキュリティ脆弱性を体系的に検出します。
セキュア・デザイン・レビューは、パスワードの保存、IDとアクセスの管理、暗号化の使用などの主要なセキュリティ管理策の設計を業界のベストプラクティスと照らし合わせて評価し、構成の誤り、脆弱性、誤用、欠落について判断します。また、アプリケーションまたはコードのテストや分析を行うことなく、アプリケーションの設計におけるセキュリティ管理策に関連するシステムの欠陥を見つけ出します。
定量的コード品質監査では、静的解析ツールとマニュアル・コードレビューを組み合わせてコードの品質を解析し、結果を業界ベンチマークと比較して自社開発コードの品質、再利用可能性、拡張性、保守性を評価します。
定性的コード品質監査では、ソフトウェア開発ライフサイクル(SDLC)を構成するプロセスとプラクティスの徹底した解析を行い、品質向上とコスト削減を実現する方法をご提案します。
暗号化監査では、取得したソフトウェアの合法的な移転に影響や制限を加える可能性がある暗号化テクノロジーを特定し、独自開発のソフトウェア、オープンソース・ソフトウェア、サードパーティー・ソフトウェアの暗号化機能の詳細な解析を行います。
被買収側の立場であっても、戦略的買収の対象候補を評価する場合でも、デジタル資産のベンチマーク評価を行うためにも、ソフトウェア資産の構成とインテグリティを精査することが合併・買収の成功にとって不可欠です。
451 ResearchがM&Aに伴うオープンソースの脅威への対処について語る