CA Technologies收购SourceClear以推动DevSecOps发展

至顶网软件频道消息： 此举的目标是让SourceClear技术能够帮助企业客户保护他们基于SaaS的工具。

CA Technologies已同意竞购SourceClear，以提高该公司软件和基于SaaS的应用程序的安全性。

收购的财务细节未被披露。

CA Veracode的总经理Sam King在一份声明中表示，此次收购旨在改进DevSecOps并缓解开放源代码软件带来的风险。

SourceClear是由Mark Curphey创建的，他也是开放网络应用程序安全项目（Open Web Application Security Project， OWASP）的创始人。SourceClear是一款基于SaaS的软件组合分析工具的开发商。

该工具利用了国家漏洞数据库（NVD）以外的漏洞数据库来扫描和检测哪些应用程序使用了容易受攻击的组件，以及容易受到攻击的功能是否正在使用——这可以在使用开源库扫描bug时减少误报率。

根据这些知识，安全和开发团队可以首先解决最高优先级的问题——并且解决未被使用的组件——这可以节省时间、金钱并降低某些开源系统给企业带来的风险。

King表示：“通过收购SourceClear，我们在将安全性、生产力和效率的同样组合方面迈进一大步，改进开发人员使用和测试开源库的方式，这样我们的客户就可以使用开源库加速软件开发，而且不会增加不受管理的风险。”

开源系统和库对企业玩家来说具有不可估量的价值。SourceClear表示，在十年内将有近五亿个开源库可供开发人员使用。

但是，开源系统也可能会带来风险，这是由于它的开发性质、补丁程序以及可能不会被开发人员挑出来的错误。来自Black Duck的研究人员在2017年发现，金融行业使用开源软件的大多数企业应用程序都包含漏洞——其中一些已经存在了超过四年。

King补充表示：“在某些情况下，引发攻击的漏洞是众所周知的，而且已经被记录在案。” King表示：“但在其他情况下，它们则没有被包含在国家漏洞数据库（National Vulnerability Database）中。而且随着开源库数量的增加，企业难以跟踪哪个组件以及哪个版本是安全的。”

CA Technologies计划将SourceClear技术全面整合到Veracode平台中，并希望此举能够让客户有机会利用开源技术而不会“引入不必要的风险”。