上周三,Synopsys 董事会批准将公司的应用安全测试业务以 5.25 亿美元的价格出售,此举旨在让公司专注于设计自动化和集成电路知识产权(IP)业务。
去年 11 月,位于硅谷的系统设计巨头 Synopsys 开始为其软件完整性部门探索战略替代方案。在此几周前,该公司以大约 340 亿美元收购软件开发商 Ansys 。据彭博社上个月报道,Synopsys 正在与一家顾问公司合作,评估其应用安全部门的市场兴趣,该部门可能会吸引私募股权公司的关注,估值将达到 30 亿美元或更高。
私募股权在 Synopsys 应用安全部的竞争对手中比较常见。2022 年 5 月,TA Associates 以 25 亿美元的估值从 Thoma Bravo 手中收购了 Veracode 的多数股权;2020 年 4 月,Hellman & Friedman 以 11.5 亿美元的估值从 Insight Partners 手中收购了 Checkmarx 的多数股权。对于彭博社上个月的报道,Synopsys 并没有发表评论。
Synopsys 总裁兼首席执行官 Sassine Ghazi 在 11 月对投资者表示:“我们为过去九年在软件完整性方面取得的显著进展感到自豪,未来的发展前景仍然充满吸引力。同时,我们在设计自动化和设计 IT 领域也有令人注目的投资机会,其预期增长和回报潜力要高得多。”
增长放缓但利润增加
Synopsys 软件完整性业务的增长速度已经放缓,从 2022 财年的 18% 降至 2023 财年的 13%,在截至 1 月 31 日的最近一个财季进一步下降至 8%。在 Synopsys 整体营收中,软件完整性业务的比例也在减少,从 2021 财年的 9.4% 减至 2022 财年的 9.2%,再到 2023 财年的 9%,在最近的一个财季降至 8.4%。
Ghazi 在 11 月份向投资者表示,相较于软件完整性业务,投资组合中 90% 的部分,也就是设计自动化和设计 IP 业务板块,能够带来更高的投资回报。
尽管 Synopsys 的应用安全测试业务增长放缓,但该部门的盈利能力却日益增强。营业收入在 Synopsys 2022 财年增长了 23%,在 2023 财年增长了 62%,在最近一个财季增长了 55%。Synopsys 的营业利润率从 2022 财年的 10% 提高到 2023 财年的 15%,再到上一季度的 17%。
这几年来,Synopsys 通过一系列收购建立了自己的应用安全测试业务。
- 2014 年 3 月,Synopsys 以 3.34 亿美元收购了软件测试供应商 Coverity,拉开了收购序幕。
- 2015 年 8 月,它又收购了软件安全厂商 Codenomicon,但具体收购金额未公开。
- 2017 年 12 月,Synopsys又以 5.47 亿美元收购开源安全供应商 Black Duck Software 引起了广泛关注。
- 2021 年 6 月,继续收购了应用安全风险管理公司 Code Dx,具体收购金额未公开。
- 2022年6月,Synopsys 以 3.3 亿美元收购了 WhiteHat Security,以自动化且可扩展的方式保护生产环境中的网络应用程序。
分析师赞誉,竞争对手质疑
Synopsys 通过这些收购创建的安全测试平台得到了技术分析师的一致好评。在 Gartner 的 2023 年应用安全测试排名中,Synopsys 遥遥领先于竞争对手,Gartner 称赞 Synopsys 增加了集成 SaaS 解决方案,扩大了对开发人员工具的支持,数据分析与协调能力。
2023 年 5 月,Gartner 公司副总裁兼分析师 Mark Horvath 对告诉信息安全媒体集团表示,Synopsys 已经非常清晰地阐述了他们的愿景,并且进行了一些战略性收购。他们的产品确实在持续改进,当遇到技术挑战时,Synopsys 也表现出了解决问题的灵活性和竞争力。
另外,Forrester 在去年的报告中将 Synopsys 放在静态应用安全测试领域仅次于 Veracode 的位置,以及软件组成分析领域仅次于 Sonatype 和 Snyk 的位置。Forrester 称赞 Synopsys 拥有强大的策略引擎,提供了多样化功能购买方式、强大的扫描及源代码分析能力,并向开发人员交付了极具操作性的结果。
Synopsys 收购 Black Duck 后的行为激怒了竞争对手 Risk Based Security,后者于 2022 年 1 月被 Flashpoint 收购。2021 年 3 月,当 Synopsys 成为 CVE 编号机构时,Risk Based Security 指控 Synopsys 涉嫌非法利用 Black Duck 获取的数据库信息,并向其发出了停止和终止信函。
2021 年 4 月,Synopsys 向法院申请判决其未侵犯 Risk Based Security 的商业机密。经过审理,联邦上诉法院在 2023 年 6 月裁定支持 Synopsys,理由是 Risk Based Security 未能证明其所称的数据对 Synopsys 构建开源代码漏洞数据库具有“独立的经济价值”。
