如果您的组织开发软件，则无论您是否知道，您可能都在使用大量开源代码。

Fossa Inc.将其业务及其投资者的资金中的3500万美元押注于公司，因为他们认为组织需要更多地了解其所构建软件的内容。

该公司提供了一个开放源代码管理平台，该平台可以分析组织和源代码库中的代码，并将其与知识库进行比较，以识别开放源代码组件的存在。今天，它宣布已通过B轮融资筹集了2320万美元，并且首次推出了一个新的安全管理工具包，该工具包将寻找开源代码中的已知漏洞，以提醒组织风险。

Gartner去年估计，正在开发的软件中有90%的代码中有90%受开源许可的约束，这一事实可能会导致一系列法律和安全问题。一方面，有许多这样的许可证，要遵守每个许可证的规定是一项艰巨的任务，要手动完成。甚至在发布补丁之后，开源程序中的漏洞也可能无意间在嵌入到其他位置的代码片段中传递。

Fossa首席执行官Kevin Wang说，许多组织在使用开源代码方面都有严格的政策，但是由于缺乏控制平台，它们也存在强制执行问题。

他说：“通常有一种轻量级或手动的解决方案可以覆盖他们拥有的代码的5%至10%。” “我们正在努力使他们达到90%到95%。”

遵守涵盖大型企业应用程序的所有潜在许可证可能会造成后勤上的麻烦和法律上的偏头痛。例如，所谓的“ copyleft”许可证授予人们自由分配和修改代码的权利，前提是他们必须以相同的条款发布衍生代码

Wang说：“企业对于违反这些协议非常敏感。” 他说，当客户首次部署Fossa的服务时，最大的惊喜是“通常只是他们使用的开源软件的规模。”

Fossa的产品以本地版本和云版本提供，并与公司的开发环境集成，并扫描过程中的代码库。Wang说：“我们对整个开源供应链进行了描绘。” 它的扫描工具可在开放源代码许可下使用，但知识库是专有的。

该公司表示，已经进行了超过9000万次开源扫描。Wang说：“有一个巨大的代码供应链，人们不再控制了。” “如果我正在开发软件，几乎每条线都可能由其他人开发，但我仍然对此负责。” 他说，大型软件应用程序的间接贡献者可以达到数十万。

Fossa的新安全管理工具包将开源代码与已知漏洞进行匹配，并在存在漏洞或需要补丁的情况下通知开发人员。Wang说：“大多数时候，公司不会看到安全漏洞，因为他们无法大规模查看所使用的代码。”

他说，Fossa成立于2015年，最初瞄准的是技术供应商和软件公司，但后来发现，大量使用许可软件是“每个企业都面临的问题”。除主流业务应用程序外，在汽车，飞机和医疗设备中运行的嵌入式软件中还存在漏洞。他说：“如今，几乎没有发现当今价值最高的工作负载。”

新的资金使该公司的价值超过1亿美元。该轮融资由贝恩资本风险投资公司，Canvas Management Co. LLC和Costanoa Venture Capital Partners LLC牵头。