上周三，Synopsys 董事会批准将公司的应用安全测试业务以 5.25 亿美元的价格出售，此举旨在让公司专注于设计自动化和集成电路知识产权（IP）业务。

去年 11 月，位于硅谷的系统设计巨头 Synopsys 开始为其软件完整性部门探索战略替代方案。在此几周前，该公司以大约 340 亿美元收购软件开发商 Ansys 。据彭博社上个月报道，Synopsys 正在与一家顾问公司合作，评估其应用安全部门的市场兴趣，该部门可能会吸引私募股权公司的关注，估值将达到 30 亿美元或更高。

私募股权在 Synopsys 应用安全部的竞争对手中比较常见。2022 年 5 月，TA Associates 以 25 亿美元的估值从 Thoma Bravo 手中收购了 Veracode 的多数股权；2020 年 4 月，Hellman & Friedman 以 11.5 亿美元的估值从 Insight Partners 手中收购了 Checkmarx 的多数股权。对于彭博社上个月的报道，Synopsys 并没有发表评论。

Synopsys 总裁兼首席执行官 Sassine Ghazi 在 11 月对投资者表示：“我们为过去九年在软件完整性方面取得的显著进展感到自豪，未来的发展前景仍然充满吸引力。同时，我们在设计自动化和设计 IT 领域也有令人注目的投资机会，其预期增长和回报潜力要高得多。”

增长放缓但利润增加

Synopsys 软件完整性业务的增长速度已经放缓，从 2022 财年的 18% 降至 2023 财年的 13%，在截至 1 月 31 日的最近一个财季进一步下降至 8%。在 Synopsys 整体营收中，软件完整性业务的比例也在减少，从 2021 财年的 9.4% 减至 2022 财年的 9.2%，再到 2023 财年的 9%，在最近的一个财季降至 8.4%。

Ghazi 在 11 月份向投资者表示，相较于软件完整性业务，投资组合中 90% 的部分，也就是设计自动化和设计 IP 业务板块，能够带来更高的投资回报。

尽管 Synopsys 的应用安全测试业务增长放缓，但该部门的盈利能力却日益增强。营业收入在 Synopsys 2022 财年增长了 23%，在 2023 财年增长了 62%，在最近一个财季增长了 55%。Synopsys 的营业利润率从 2022 财年的 10% 提高到 2023 财年的 15%，再到上一季度的 17%。

这几年来，Synopsys 通过一系列收购建立了自己的应用安全测试业务。

• 2014 年 3 月，Synopsys 以 3.34 亿美元收购了软件测试供应商 Coverity，拉开了收购序幕。
• 2015 年 8 月，它又收购了软件安全厂商 Codenomicon，但具体收购金额未公开。
• 2017 年 12 月，Synopsys又以 5.47 亿美元收购开源安全供应商 Black Duck Software 引起了广泛关注。
• 2021 年 6 月，继续收购了应用安全风险管理公司 Code Dx，具体收购金额未公开。
• 2022年6月，Synopsys 以 3.3 亿美元收购了 WhiteHat Security，以自动化且可扩展的方式保护生产环境中的网络应用程序。

分析师赞誉，竞争对手质疑

Synopsys 通过这些收购创建的安全测试平台得到了技术分析师的一致好评。在 Gartner 的 2023 年应用安全测试排名中，Synopsys 遥遥领先于竞争对手，Gartner 称赞 Synopsys 增加了集成 SaaS 解决方案，扩大了对开发人员工具的支持，数据分析与协调能力。

2023 年 5 月，Gartner 公司副总裁兼分析师 Mark Horvath 对告诉信息安全媒体集团表示，Synopsys 已经非常清晰地阐述了他们的愿景，并且进行了一些战略性收购。他们的产品确实在持续改进，当遇到技术挑战时，Synopsys 也表现出了解决问题的灵活性和竞争力。

另外，Forrester 在去年的报告中将 Synopsys 放在静态应用安全测试领域仅次于 Veracode 的位置，以及软件组成分析领域仅次于 Sonatype 和 Snyk 的位置。Forrester 称赞 Synopsys 拥有强大的策略引擎，提供了多样化功能购买方式、强大的扫描及源代码分析能力，并向开发人员交付了极具操作性的结果。

Synopsys 收购 Black Duck 后的行为激怒了竞争对手 Risk Based Security，后者于 2022 年 1 月被 Flashpoint 收购。2021 年 3 月，当 Synopsys 成为 CVE 编号机构时，Risk Based Security 指控 Synopsys 涉嫌非法利用 Black Duck 获取的数据库信息，并向其发出了停止和终止信函。

2021 年 4 月，Synopsys 向法院申请判决其未侵犯 Risk Based Security 的商业机密。经过审理，联邦上诉法院在 2023 年 6 月裁定支持 Synopsys，理由是 Risk Based Security 未能证明其所称的数据对 Synopsys 构建开源代码漏洞数据库具有“独立的经济价值”。

参考来源：Synopsys Greenlights Sale of $525M Application Security Unit (inforisktoday.com)