Kun yritys ostaa toisen ohjelmistoyrityksen, due diligence kattaa tyypillisesti talouden, juridiikan ja liiketoiminnan. Mutta ohjelmisto itse — se omaisuuserä, josta kauppahinta maksetaan — jää usein tutkimatta.
Piilotetut riskit koodissa
Ohjelmistoyrityksen arvo on sen koodipohja. Mutta koodipohja voi pitää sisällään riskejä, jotka paljastuvat vasta kuukausien päästä kaupasta:
- Tekninen velka: Koodin laatu voi olla niin heikko, että jatkokehitys on hitaampaa ja kalliimpaa kuin arvioitu
- Lisenssiongelmat: Avoimen lähdekoodin kirjastot voivat sisältää copyleft-lisenssejä (GPL), jotka pakottavat tuotteen avaamisen
- Tietoturva-aukot: Haavoittuvat riippuvuudet, kovakoodatut salasanat, puuttuva syötteen validointi
- Ylläpidettävyys: Arkkitehtuuri voi olla niin sotkuinen, että kehitystiimin vaihtaminen on käytännössä mahdotonta
EU:n kyberturvallisuusasetus nostaa rimaa
EU:n Cyber Resilience Act (CRA, voimaan 2027) ja SBOM-vaatimukset (Software Bill of Materials) tekevät ohjelmiston koostumuksen tuntemisesta lakisääteisen velvoitteen. Yrityskaupassa ostajan on tiedettävä:
- Mitä avoimen lähdekoodin komponentteja tuote sisältää?
- Onko niissä tunnettuja haavoittuvuuksia (CVE)?
- Mihin lisensseihin ostaja sitoutuu?
Ilman tätä tietoa kauppa voi tuoda mukanaan yllättäviä compliance-velvoitteita.
Miten auditointi tehdään?
Softagram Auditointi tuottaa kattavan kuvan ohjelmiston tilasta viikon sisällä. Analyysi käyttää automaattista rakenneanalyysiä yhdistettynä asiantuntija-arviointiin:
- Visuaalinen arkkitehtuurimalli: Miten järjestelmän osat liittyvät toisiinsa?
- Ylläpidettävyysarvio: Teknisen velan määrä, kompleksisuus, kehäriippuvuudet
- SBOM ja lisenssikatsaus: Kaikki avoimen lähdekoodin riippuvuudet ja niiden lisenssit
- Tietoturva-arvio: Tunnetut haavoittuvuudet, arkkitehtuurin tietoturvamalli
- Toimenpidesuositukset: Priorisoitu lista riskeistä ja niiden korjausehdotuksista
Asiakaskokemus
“Hyödynsimme Softagramin auditointia ulkoistetun mobiilisovelluksen analyysiin. Yhteenveto auttoi merkittävästi päätöksenteossa tuotteen jatkuvuudesta.”
— Simo Lohi, toimitusjohtaja, Perusterveys
Milloin auditointi kannattaa?
Koodiauditointi tuottaa arvoa erityisesti:
- Yrityskaupassa (M&A): Ennen kauppahinnan vahvistamista
- Toimittajavaihdossa: Kun kehitys siirretään uudelle tiimille
- Legacy-modernisoinnissa: Ennen isoa refaktorointiprojektia
- Compliance-tarpeissa: SBOM-vaatimusten täyttäminen
Alkuperäinen artikkeli julkaistu 2017. Päivitetty 2026 EU CRA- ja SBOM-näkökulmilla.