Siirry sisältöön

Ohjelmiston due diligence yrityskaupassa: miksi koodiauditointi on välttämätöntä?

SBOM-vaatimukset, tekninen velka ja piilotetut riskit ohjelmistoyritysten kaupoissa
1. maaliskuuta 2026 kirjoittanut
Ohjelmiston due diligence yrityskaupassa: miksi koodiauditointi on välttämätöntä?
Ville Laitila

Kun yritys ostaa toisen ohjelmistoyrityksen, due diligence kattaa tyypillisesti talouden, juridiikan ja liiketoiminnan. Mutta ohjelmisto itse — se omaisuuserä, josta kauppahinta maksetaan — jää usein tutkimatta.

Piilotetut riskit koodissa

Ohjelmistoyrityksen arvo on sen koodipohja. Mutta koodipohja voi pitää sisällään riskejä, jotka paljastuvat vasta kuukausien päästä kaupasta:

  • Tekninen velka: Koodin laatu voi olla niin heikko, että jatkokehitys on hitaampaa ja kalliimpaa kuin arvioitu
  • Lisenssiongelmat: Avoimen lähdekoodin kirjastot voivat sisältää copyleft-lisenssejä (GPL), jotka pakottavat tuotteen avaamisen
  • Tietoturva-aukot: Haavoittuvat riippuvuudet, kovakoodatut salasanat, puuttuva syötteen validointi
  • Ylläpidettävyys: Arkkitehtuuri voi olla niin sotkuinen, että kehitystiimin vaihtaminen on käytännössä mahdotonta

EU:n kyberturvallisuusasetus nostaa rimaa

EU:n Cyber Resilience Act (CRA, voimaan 2027) ja SBOM-vaatimukset (Software Bill of Materials) tekevät ohjelmiston koostumuksen tuntemisesta lakisääteisen velvoitteen. Yrityskaupassa ostajan on tiedettävä:

  • Mitä avoimen lähdekoodin komponentteja tuote sisältää?
  • Onko niissä tunnettuja haavoittuvuuksia (CVE)?
  • Mihin lisensseihin ostaja sitoutuu?

Ilman tätä tietoa kauppa voi tuoda mukanaan yllättäviä compliance-velvoitteita.

Miten auditointi tehdään?

Softagram Auditointi tuottaa kattavan kuvan ohjelmiston tilasta viikon sisällä. Analyysi käyttää automaattista rakenneanalyysiä yhdistettynä asiantuntija-arviointiin:

  • Visuaalinen arkkitehtuurimalli: Miten järjestelmän osat liittyvät toisiinsa?
  • Ylläpidettävyysarvio: Teknisen velan määrä, kompleksisuus, kehäriippuvuudet
  • SBOM ja lisenssikatsaus: Kaikki avoimen lähdekoodin riippuvuudet ja niiden lisenssit
  • Tietoturva-arvio: Tunnetut haavoittuvuudet, arkkitehtuurin tietoturvamalli
  • Toimenpidesuositukset: Priorisoitu lista riskeistä ja niiden korjausehdotuksista

Asiakaskokemus

“Hyödynsimme Softagramin auditointia ulkoistetun mobiilisovelluksen analyysiin. Yhteenveto auttoi merkittävästi päätöksenteossa tuotteen jatkuvuudesta.”

— Simo Lohi, toimitusjohtaja, Perusterveys

Milloin auditointi kannattaa?

Koodiauditointi tuottaa arvoa erityisesti:

  • Yrityskaupassa (M&A): Ennen kauppahinnan vahvistamista
  • Toimittajavaihdossa: Kun kehitys siirretään uudelle tiimille
  • Legacy-modernisoinnissa: Ennen isoa refaktorointiprojektia
  • Compliance-tarpeissa: SBOM-vaatimusten täyttäminen

Kysy lisää auditoinnista

Alkuperäinen artikkeli julkaistu 2017. Päivitetty 2026 EU CRA- ja SBOM-näkökulmilla.