新思科技解析如何降低并购时API和Web服务风险
星期四, 三月 19, 2020
作者:新思科技高级技术撰稿人Derek Handova
在技术并购中,对软件本身的尽职调查必须考虑其体系结构和代码。体系结构提供了基础,定义了如何汇编和构造代码;深入研究代码,可能会发现技术缺陷,包括错误、安全漏洞、许可问题以及其它需要修改代码的问题。
如今,相比编写代码,开发人员更可能为他们的应用程序组装代码。当然,他们仍会编写关键的业务的代码。但是,代码库中包含多达90%的开源或第三方组件,开发人员可将代码重用于常见功能,节约时间。有一种可重用的组件类型是基于API的Web服务,其中许多可免费用于开发基本功能。但是,使用基于API的Web服务可能会产生版权、最终用户许可、使用条款以及数据和隐私政策等相关问题。
开发人员经常在互联网上找到适用于其应用程序的有用API。但是软件开发公司可能无法控制甚至不知道开发人员正在使用哪些API。然后,您的公司有一天决定购买该开发公司。您要如何在收购的时候减少基于API的Web服务的相关风险?
减少基于API的Web服务的4个方面的风险
当您考虑收购的公司有软件需要进行实质性估值,而且此类软件是基于API的Web服务时,需要注意以下4个方面:
基于API的Web服务通常伴随版权问题和使用条件,您需要了解这些版权和使用条件。使用条款也可能是复杂且不断变化的。当使用条款更改时,用户只要是继续使用基于API的Web服务即表示同意新条款。可以说,当您购买基于API的公司许可的Web服务时,您还可能继承了其法律和合规风险。
基于API的Web服务给收购方带来了两个风险:API发送的数据和接收的数据。发送的数据可能会泄漏或被窃听;接收的数据可能包括可执行文件、篡改的图像、病毒或恶意代码。而且,无论是发送还是接受的数据都可能受到中间人攻击。
企业有时会将来自API的数据与从其它来源获得的数据区别对待。当涉及到数据隐私时,所有数据,尤其是个人身份信息(PII),都需要同样的保护。作为收购方,您必须对多方面进行尽职调查,包括目标应用程序如何处理API数据、如何将其与其它来源的匿名数据进行合并以及在何处(从地理角度而言)将数据发送至何处、从何处接收、存储并处理等,还需要审查其是否遵守区域数据隐私法规,例如欧洲的《通用数据保护条例》(GDPR)。
基于API的Web服务是免费的,不提供服务级别协议(SLA)。在寻找潜在的收购机会时,您需要知道使用免费Web服务会带来哪些持续的风险。如果吊销了API许可证、不赞成使用API或竞争对手购买了API提供商并限制了直接竞争的访问权限,您最终可能会遇到业务无法进展的问题。您必须制定应急计划,以随时应对API出于任何原因变得不可用的情况。
3个步骤缓解基于API的Web服务风险
与对开源软件的审查一样,收购方要降低基于API的Web服务风险,必须围绕着全面披露和发现。基本上,需要三个步骤: