新思科技分析科技公司并購盡職調查要點(diǎn)

在軟件公司并購中，對目標公司的SDLC進(jìn)行技術(shù)盡職調查是必需的。如果你對其流程和工具并不清楚的話(huà)，可能會(huì )給你帶來(lái)?yè)p害。

并購 (M&A) 交易運作過(guò)程中，代碼所含內容至關(guān)重要。應用中未被發(fā)現的開(kāi)源可能導致代價(jià)高昂的許可證違規。這些以及專(zhuān)有、開(kāi)源和其他第三方軟件中的安全漏洞可能會(huì )對軟件資產(chǎn)的價(jià)值產(chǎn)生重大負面影響。因此，在并購中，盡職調查尤為重要。

在收購或者兼并一家公司之前，有許多因素你需要考慮，涵蓋目標公司的財務(wù)狀況、員工、法律狀況、客戶(hù)群以及技術(shù)等。其中，技術(shù)，不僅涉及公司建立的技術(shù)，還包括他們如何構建技術(shù)。作為技術(shù)盡職調查的一部分，你應該評估目標公司的軟件開(kāi)發(fā)生命周期（SDLC）流程和工具。接下來(lái)讓我們看看如何評估。

誰(shuí)將要購買(mǎi)技術(shù)公司？

對于并購活動(dòng)涉及的技術(shù)公司，有兩種基本類(lèi)型的購買(mǎi)方：

企業(yè)或者戰略性買(mǎi)家，尋求將目標公司的軟件技術(shù)“鎖定”到他們現有的技術(shù)堆棧。

私募股權買(mǎi)家，購買(mǎi)科技公司并尋求對其進(jìn)行經(jīng)營(yíng)（管理），將其作為獨立運營(yíng)的全資子公司或者投資組合公司。隨著(zhù)時(shí)間的推移，他們準備好將公司賣(mài)給戰略性買(mǎi)家。

兩種類(lèi)型的買(mǎi)家會(huì )影響你使用技術(shù)盡職調查來(lái)評估流程和工具的方法。

并購的觀(guān)點(diǎn)

在技術(shù)收購中，一個(gè)戰略性買(mǎi)家對流程和工具的技術(shù)盡職調查通常會(huì )有一兩個(gè)觀(guān)點(diǎn)（不相互排斥）：

如果你計劃購買(mǎi)整個(gè)公司并且保持原有的運營(yíng)，你應該評估目標公司如何進(jìn)行軟件開(kāi)發(fā)以及使用哪些工具。

如果你計劃將收購整合到現有的公司，你必須熟悉目標公司的流程，這將會(huì )直接影響整合以及潛在的風(fēng)險。

在缺乏流程的地方，你必須深入挖掘。例如，根據451研究報告，如果目標公司沒(méi)有管理開(kāi)源組件的流程，那么分析開(kāi)源許可以及安全問(wèn)題的代碼就尤為重要。開(kāi)源許可以及安全評估通常是由軟件組件分析（SCA）解決方案進(jìn)行的。

私募股權收購方，通常保持目標公司原有的運營(yíng)，需要確保目標公司的開(kāi)發(fā)流程/工具和支持基礎設施符合行業(yè)標準。他們也希望確保軟件是安全的并且IP是受保護的，因為他們承擔了風(fēng)險。一些缺乏技術(shù)盡職調查專(zhuān)業(yè)知識的公司會(huì )聘請顧問(wèn)。

在沒(méi)有流程的地方分析開(kāi)源風(fēng)險

一些開(kāi)發(fā)人員傾向認為開(kāi)源組件是免費的，沒(méi)有任何相關(guān)成本。那么擁有許可證有什么大不了的？事實(shí)上即使是免費的，開(kāi)源軟件也要求你擁有許可證。如果你的代碼庫因并購或者其它原因在技術(shù)盡職調查期間被審計，你需要能夠證明你擁有代碼庫中開(kāi)源組件的所有權利，否則可能會(huì )產(chǎn)生法律后果。這個(gè)問(wèn)題可能比你想象中的更加復雜。

例如，2018年審計的超過(guò)1,200個(gè)商業(yè)代碼庫中有85%包含有許可證問(wèn)題的組件。除此之外，38%包含賣(mài)方無(wú)權使用的未經(jīng)許可的組件。違反許可證可能會(huì )產(chǎn)生嚴重的后果，包括：

訴訟

對企業(yè)聲譽(yù)的影響（因許可證問(wèn)題而被起訴等）

知識產(chǎn)權損失（如果許可證合規性要求分發(fā)源代碼）

在流程和工具中的并購風(fēng)險

并購包含對于潛在的目標公司的若干風(fēng)險評估行動(dòng)。SCA越來(lái)越多地成為技術(shù)盡職調查不可或缺的一部分。一些大公司每年都會(huì )進(jìn)行多次收購，因此他們擁有評估這些風(fēng)險的經(jīng)驗。他們可以自己進(jìn)行SCA和盡職調查，也可以和信賴(lài)的合作伙伴或顧問(wèn)密切合作來(lái)進(jìn)行。

開(kāi)源安全是每個(gè)人的責任

使用開(kāi)源組件已經(jīng)成為主流。從大型企業(yè)到兩人初創(chuàng )企業(yè)都在使用開(kāi)源組件。因此，開(kāi)發(fā)人員變得更快也更加有效率。但這并不能減輕他們在這些開(kāi)源組件中發(fā)現和修復安全漏洞的責任。這甚至適用于“永久的”開(kāi)源組件。研究人員繼續發(fā)現開(kāi)源組件中的漏洞，不管它們多么成熟。

因此，開(kāi)發(fā)人員需要始終關(guān)注來(lái)自所有開(kāi)源和第三方來(lái)源的警報和補丁。你不希望成為下一個(gè)Equifax/Apache Struts，因數據泄露從而面臨著(zhù)潛在的1.4億人的集體訴訟。如果Equifax的開(kāi)發(fā)人員使用了最新的Jackson解析器，他們可以很快地識別出Apache Struts漏洞。

所以如果你正在考慮收購一家軟件技術(shù)公司，請確保進(jìn)行技術(shù)盡職調查以確定目標公司是否將安全構建到其SDLC中。建立持續的測試流程以補充持續集成/持續開(kāi)發(fā)過(guò)程才有意義。通過(guò)恰當的流程和工具集（包括軟件組建分析），開(kāi)發(fā)團隊可以更快地修復歷史和最近發(fā)布的漏洞，使他們能夠更快地發(fā)布更安全、更高質(zhì)量的軟件。