新思科技分析科技公司并購(gòu)盡職調(diào)查要點(diǎn)
在軟件公司并購(gòu)中,對(duì)目標(biāo)公司的SDLC進(jìn)行技術(shù)盡職調(diào)查是必需的。如果你對(duì)其流程和工具并不清楚的話,可能會(huì)給你帶來(lái)?yè)p害。
本文引用地址:http://m.butianyuan.cn/article/201907/402943.htm并購(gòu) (M&A) 交易運(yùn)作過(guò)程中,代碼所含內(nèi)容至關(guān)重要。應(yīng)用中未被發(fā)現(xiàn)的開(kāi)源可能導(dǎo)致代價(jià)高昂的許可證違規(guī)。這些以及專有、開(kāi)源和其他第三方軟件中的安全漏洞可能會(huì)對(duì)軟件資產(chǎn)的價(jià)值產(chǎn)生重大負(fù)面影響。因此,在并購(gòu)中,盡職調(diào)查尤為重要。
在收購(gòu)或者兼并一家公司之前,有許多因素你需要考慮,涵蓋目標(biāo)公司的財(cái)務(wù)狀況、員工、法律狀況、客戶群以及技術(shù)等。其中,技術(shù),不僅涉及公司建立的技術(shù),還包括他們?nèi)绾螛?gòu)建技術(shù)。作為技術(shù)盡職調(diào)查的一部分,你應(yīng)該評(píng)估目標(biāo)公司的軟件開(kāi)發(fā)生命周期(SDLC)流程和工具。接下來(lái)讓我們看看如何評(píng)估。
誰(shuí)將要購(gòu)買技術(shù)公司?
對(duì)于并購(gòu)活動(dòng)涉及的技術(shù)公司,有兩種基本類型的購(gòu)買方:
企業(yè)或者戰(zhàn)略性買家,尋求將目標(biāo)公司的軟件技術(shù)“鎖定”到他們現(xiàn)有的技術(shù)堆棧。
私募股權(quán)買家,購(gòu)買科技公司并尋求對(duì)其進(jìn)行經(jīng)營(yíng)(管理),將其作為獨(dú)立運(yùn)營(yíng)的全資子公司或者投資組合公司。隨著時(shí)間的推移,他們準(zhǔn)備好將公司賣給戰(zhàn)略性買家。
兩種類型的買家會(huì)影響你使用技術(shù)盡職調(diào)查來(lái)評(píng)估流程和工具的方法。
并購(gòu)的觀點(diǎn)
在技術(shù)收購(gòu)中,一個(gè)戰(zhàn)略性買家對(duì)流程和工具的技術(shù)盡職調(diào)查通常會(huì)有一兩個(gè)觀點(diǎn)(不相互排斥):
如果你計(jì)劃購(gòu)買整個(gè)公司并且保持原有的運(yùn)營(yíng),你應(yīng)該評(píng)估目標(biāo)公司如何進(jìn)行軟件開(kāi)發(fā)以及使用哪些工具。
如果你計(jì)劃將收購(gòu)整合到現(xiàn)有的公司,你必須熟悉目標(biāo)公司的流程,這將會(huì)直接影響整合以及潛在的風(fēng)險(xiǎn)。
在缺乏流程的地方,你必須深入挖掘。例如,根據(jù)451研究報(bào)告,如果目標(biāo)公司沒(méi)有管理開(kāi)源組件的流程,那么分析開(kāi)源許可以及安全問(wèn)題的代碼就尤為重要。開(kāi)源許可以及安全評(píng)估通常是由軟件組件分析(SCA)解決方案進(jìn)行的。
私募股權(quán)收購(gòu)方,通常保持目標(biāo)公司原有的運(yùn)營(yíng),需要確保目標(biāo)公司的開(kāi)發(fā)流程/工具和支持基礎(chǔ)設(shè)施符合行業(yè)標(biāo)準(zhǔn)。他們也希望確保軟件是安全的并且IP是受保護(hù)的,因?yàn)樗麄兂袚?dān)了風(fēng)險(xiǎn)。一些缺乏技術(shù)盡職調(diào)查專業(yè)知識(shí)的公司會(huì)聘請(qǐng)顧問(wèn)。
在沒(méi)有流程的地方分析開(kāi)源風(fēng)險(xiǎn)
一些開(kāi)發(fā)人員傾向認(rèn)為開(kāi)源組件是免費(fèi)的,沒(méi)有任何相關(guān)成本。那么擁有許可證有什么大不了的?事實(shí)上即使是免費(fèi)的,開(kāi)源軟件也要求你擁有許可證。如果你的代碼庫(kù)因并購(gòu)或者其它原因在技術(shù)盡職調(diào)查期間被審計(jì),你需要能夠證明你擁有代碼庫(kù)中開(kāi)源組件的所有權(quán)利,否則可能會(huì)產(chǎn)生法律后果。這個(gè)問(wèn)題可能比你想象中的更加復(fù)雜。
例如,2018年審計(jì)的超過(guò)1,200個(gè)商業(yè)代碼庫(kù)中有85%包含有許可證問(wèn)題的組件。除此之外,38%包含賣方無(wú)權(quán)使用的未經(jīng)許可的組件。違反許可證可能會(huì)產(chǎn)生嚴(yán)重的后果,包括:
訴訟
對(duì)企業(yè)聲譽(yù)的影響(因許可證問(wèn)題而被起訴等)
知識(shí)產(chǎn)權(quán)損失(如果許可證合規(guī)性要求分發(fā)源代碼)
在流程和工具中的并購(gòu)風(fēng)險(xiǎn)
并購(gòu)包含對(duì)于潛在的目標(biāo)公司的若干風(fēng)險(xiǎn)評(píng)估行動(dòng)。SCA越來(lái)越多地成為技術(shù)盡職調(diào)查不可或缺的一部分。一些大公司每年都會(huì)進(jìn)行多次收購(gòu),因此他們擁有評(píng)估這些風(fēng)險(xiǎn)的經(jīng)驗(yàn)。他們可以自己進(jìn)行SCA和盡職調(diào)查,也可以和信賴的合作伙伴或顧問(wèn)密切合作來(lái)進(jìn)行。
開(kāi)源安全是每個(gè)人的責(zé)任
使用開(kāi)源組件已經(jīng)成為主流。從大型企業(yè)到兩人初創(chuàng)企業(yè)都在使用開(kāi)源組件。因此,開(kāi)發(fā)人員變得更快也更加有效率。但這并不能減輕他們?cè)谶@些開(kāi)源組件中發(fā)現(xiàn)和修復(fù)安全漏洞的責(zé)任。這甚至適用于“永久的”開(kāi)源組件。研究人員繼續(xù)發(fā)現(xiàn)開(kāi)源組件中的漏洞,不管它們多么成熟。
因此,開(kāi)發(fā)人員需要始終關(guān)注來(lái)自所有開(kāi)源和第三方來(lái)源的警報(bào)和補(bǔ)丁。你不希望成為下一個(gè)Equifax/Apache Struts,因數(shù)據(jù)泄露從而面臨著潛在的1.4億人的集體訴訟。如果Equifax的開(kāi)發(fā)人員使用了最新的Jackson解析器,他們可以很快地識(shí)別出Apache Struts漏洞。
所以如果你正在考慮收購(gòu)一家軟件技術(shù)公司,請(qǐng)確保進(jìn)行技術(shù)盡職調(diào)查以確定目標(biāo)公司是否將安全構(gòu)建到其SDLC中。建立持續(xù)的測(cè)試流程以補(bǔ)充持續(xù)集成/持續(xù)開(kāi)發(fā)過(guò)程才有意義。通過(guò)恰當(dāng)?shù)牧鞒毯凸ぞ呒òㄜ浖M建分析),開(kāi)發(fā)團(tuán)隊(duì)可以更快地修復(fù)歷史和最近發(fā)布的漏洞,使他們能夠更快地發(fā)布更安全、更高質(zhì)量的軟件。
評(píng)論