Acteur majeur de la CAO électronique et présent aussi sur le marché des blocs d’IP, l’éditeur américain Synopsys va débourser environ 565 millions de dollars pour acquérir son compatriote Black Duck Software, fournisseur de solutions automatisées de gestion et de sécurisation des logiciels open source. ...L’outil Software Composition Analysis de Black Duck doit permettre d’étoffer l’offre de produits de Synopsys focalisés sur la sécurité logicielle.

Créé en 2003 et fort d’un effectif de 320 personnes, Black Duck Software compte parmi ses clients des poids lourds comme Intel, NEC, Nintendo, Olympus, SAP et Samsung. La société dispose de bureaux en Allemagne, au Royaume-Uni, en Irlande du Nord, au Japon, au Canada et en Corée du Sud. « Les processus de développement continuent d’évoluer de plus en plus rapidement et Black Duck va renforcer notre capacité à étendre les tests de sécurité et de qualité à l’ensemble du cycle de développement logiciel afin de réduire les risques pour nos clients, » a précisé Andreas Kuehlmann, vice-président senior et directeur général du groupe Software Integrity de Synopsys.

De fait, l’utilisation de logiciels open source (OSS) s’accélère et on estime aujourd’hui que ceux-ci constituent 60% (voire plus) du code des applications. Si l’usage de code open source permet d’abaisser les coûts de développement et de réduire le temps de mise sur le marché, ce mouvement s’accompagne par des problèmes non négligeables liés à la sécurité et à la conformité aux diverses licences open source afférentes, la plupart des entreprises n’ayant guère de visibilité sur les logiciels en source libre effectivement mis en œuvre.

C’est ici qu’intervient Black Duck dont les produits automatisent les processus d’identification et d’inventaire du code open source, tout en détectant les vulnérabilités de sécurité connues et les problèmes éventuels de conformité aux licences. Ces produits sont par ailleurs  capables de générer automatiquement des alertes en cas de découverte d’une nouvelle vulnérabilité affectant le code source. Black Duck Software est aussi un membre influent du groupe de travail SPDX (Software Package Data Exchange) de la fondation Linux qui gère le standard éponyme de présentation et d'échange des licences et droits d’auteur open source associés à un logiciel.

De son côté, Synopsys a, depuis quelques années, considérablement renforcé ses compétences dans le domaine de la sécurité et de l’intégrité logicielles par le biais de rachats ciblés à l’instar de Cigital, Codiscope et Goanna Software en 2016, Codenomicon, Elliptic Technologies, Protecode et l’outil Seeker du français Quotium Technology en 2015, ou Coverity en 2014.

Le rachat de Black Duck par Synopsys, dont la finalisation est attendue en décembre 2017, devrait permettre à l’éditeur américain de générer un chiffre d’affaires supplémentaire compris entre 55 et 60 millions de dollars au cours de son année fiscale 2018 (Synopsys a réalisé un CA de 2,42 milliards de dollars lors de son année fiscale 2016).