为什么科技公司并购需要对SDLC流程/工具进行尽职调查?

  • 日期:09-11
  • 点击:(1982)


可以分享2019.7.31我想分享

作者:Synopsys高级技术作家Derek Handova

在软件公司的兼并和收购中,需要对目标公司的SDLC进行技术尽职调查。如果您不清楚其流程和工具,可能会对您造成很大的损害,例如:损害您自己的知识产权;给敏感数据带来风险;妨碍整体和综合业务;延长交易和整合时间;增加维修费用。

无论您在哪个方面进行并购交易,Synopsys开源许可合规性,软件安全和代码质量解决方案都可以支持您在交易中的经济和声誉成功。

在您收购或收购公司之前,您需要考虑许多因素,包括目标公司的财务状况,员工,法律地位,客户群和技术。其中,技术不仅涉及公司建立的技术,还涉及他们如何构建技术。作为技术尽职调查的一部分,您应该评估目标公司的软件开发生命周期(SDLC)流程和工具。我们来看看如何评估。

谁将收购一家科技公司?

对于参与并购活动的技术公司,有两种基本类型的买家:

企业或战略买家寻求将目标公司的软件技术“锁定”到他们现有的技术堆栈。

私募股权买家,购买科技公司,并寻求经营(管理)他们作为独立经营的全资子公司或投资组合公司。随着时间的推移,他们准备将公司出售给战略买家。

两类买家可以影响您如何使用技术尽职调查来评估流程和工具。

并购意见

在技术收购中,战略买方对流程和工具的技术尽职调查通常有一两个观点(不相互排斥):

如果您计划购买整个公司并维持其原始运营,则应评估目标公司如何开发软件以及使用哪些工具。

如果您计划将收购整合到现有公司中,您必须熟悉目标公司的流程,这将直接影响整合和潜在风险。

在没有流程的情况下,您必须深入挖掘。例如,根据451研究,如果目标公司没有管理开源组件的流程,那么分析开源许可证和安全问题尤为重要。开源许可和安全评估通常由软件组件分析(SCA)解决方案执行。

私募股权收购方通常维持目标公司的原始运营,并需要确保目标公司的开发流程/工具和支持基础设施符合行业标准。他们还希望确保软件安全并且IP受到保护,因为它们会冒风险。一些缺乏技术尽职调查专业知识的公司将聘请顾问。

分析没有流程的开源风险

一些开发人员倾向于认为开源组件是免费的,并且没有相关的成本。那么许可证有什么大不了的?事实上,即使它是免费的,开源软件也要求您拥有许可证。如果您的代码库在合并或其他原因的技术尽职调查期间经过审核,您需要能够证明您拥有代码库中开源组件的所有权利,否则可能会产生法律后果。这个问题可能比你想象的要复杂得多。

例如,2018年审计的1,200多个商业代码存储库中有85%包含具有许可证问题的组件。此外,38%包含卖方未被授权使用的未经许可的组件。违反许可证可能会产生严重后果,包括:

?诉讼

对企业声誉的影响(因许可问题而被起诉等)

知识产权损失(如果许可证合规性要求分发源代码)

流程和工具中的并购风险

并购包括针对潜在目标公司的若干风险评估行动。 SCA越来越成为技术尽职调查不可或缺的一部分。一些大公司每年进行多次收购,因此他们有评估这些风险的经验。他们可以自己进行SCA和尽职调查,也可以与可信赖的合作伙伴或顾问密切合作。

开源安全是每个人的责任

开源组件的使用已成为主流。开源组件用于从大型企业到初创企业。因此,开发人员变得更快,更高效。但这并没有减轻他们发现和修复这些开源组件中的安全漏洞的责任。这甚至适用于“永久”开源组件。研究人员继续发现开源组件中的漏洞,无论它们有多成熟。

因此,开发人员需要始终关注来自所有开源和第三方来源的警报和补丁。您不希望成为下一个Equifax/Apache Struts,由于数据泄露而面临1.4亿人的潜在集体诉讼。如果Equifax开发人员使用最新的Jackson解析器,他们可以快速识别Apache Struts漏洞。

因此,如果您正在考虑收购一家软件技术公司,请务必进行技术尽职调查,以确定目标公司是否会安全地内置到其SDLC中。建立连续的测试过程以补充持续集成/持续开发过程是有意义的。通过正确的流程和工具集(包括软件构建分析),开发团队可以更快地修复历史和最近发布的漏洞,使他们能够更快地发布更安全,更高质量的软件。

收集报告投诉

作者:Synopsys高级技术作家Derek Handova

在软件公司的兼并和收购中,需要对目标公司的SDLC进行技术尽职调查。如果您不清楚其流程和工具,可能会对您造成很大的损害,例如:损害您自己的知识产权;给敏感数据带来风险;妨碍整体和综合业务;延长交易和整合时间;增加维修费用。

无论您在哪个方面进行并购交易,Synopsys开源许可合规性,软件安全和代码质量解决方案都可以支持您在交易中的经济和声誉成功。

在您收购或收购公司之前,您需要考虑许多因素,包括目标公司的财务状况,员工,法律地位,客户群和技术。其中,技术不仅涉及公司建立的技术,还涉及他们如何构建技术。作为技术尽职调查的一部分,您应该评估目标公司的软件开发生命周期(SDLC)流程和工具。我们来看看如何评估。

谁将收购一家科技公司?

对于参与并购活动的技术公司,有两种基本类型的买家:

企业或战略买家寻求将目标公司的软件技术“锁定”到他们现有的技术堆栈。

私募股权买家,购买科技公司,并寻求经营(管理)他们作为独立经营的全资子公司或投资组合公司。随着时间的推移,他们准备将公司出售给战略买家。

两类买家可以影响您如何使用技术尽职调查来评估流程和工具。

并购意见

在技术收购中,战略买方对流程和工具的技术尽职调查通常有一两个观点(不相互排斥):

如果您计划购买整个公司并维持其原始运营,则应评估目标公司如何开发软件以及使用哪些工具。

如果您计划将收购整合到现有公司中,您必须熟悉目标公司的流程,这将直接影响整合和潜在风险。

在没有流程的情况下,您必须深入挖掘。例如,根据451研究,如果目标公司没有管理开源组件的流程,那么分析开源许可证和安全问题尤为重要。开源许可和安全评估通常由软件组件分析(SCA)解决方案执行。

私募股权收购方通常维持目标公司的原始运营,并需要确保目标公司的开发流程/工具和支持基础设施符合行业标准。他们还希望确保软件安全并且IP受到保护,因为它们会冒风险。一些缺乏技术尽职调查专业知识的公司将聘请顾问。

分析没有流程的开源风险

一些开发人员倾向于认为开源组件是免费的,并且没有相关的成本。那么许可证有什么大不了的?事实上,即使它是免费的,开源软件也要求您拥有许可证。如果您的代码库在合并或其他原因的技术尽职调查期间经过审核,您需要能够证明您拥有代码库中开源组件的所有权利,否则可能会产生法律后果。这个问题可能比你想象的要复杂得多。

例如,2018年审计的1,200多个商业代码存储库中有85%包含具有许可证问题的组件。此外,38%包含卖方未被授权使用的未经许可的组件。违反许可证可能会产生严重后果,包括:

?诉讼

对企业声誉的影响(因许可问题而被起诉等)

知识产权损失(如果许可证合规性要求分发源代码)

流程和工具中的并购风险

并购包括针对潜在目标公司的若干风险评估行动。 SCA越来越成为技术尽职调查不可或缺的一部分。一些大公司每年进行多次收购,因此他们有评估这些风险的经验。他们可以自己进行SCA和尽职调查,也可以与可信赖的合作伙伴或顾问密切合作。

开源安全是每个人的责任

开源组件的使用已成为主流。开源组件用于从大型企业到初创企业。因此,开发人员变得更快,更高效。但这并没有减轻他们发现和修复这些开源组件中的安全漏洞的责任。这甚至适用于“永久”开源组件。研究人员继续发现开源组件中的漏洞,无论它们有多成熟。

因此,开发人员需要始终关注来自所有开源和第三方来源的警报和补丁。您不希望成为下一个Equifax/Apache Struts,由于数据泄露而面临1.4亿人的潜在集体诉讼。如果Equifax开发人员使用最新的Jackson解析器,他们可以快速识别Apache Struts漏洞。

因此,如果您正在考虑收购一家软件技术公司,请务必进行技术尽职调查,以确定目标公司是否将安全地内置到其SDLC中。建立连续的测试过程以补充持续集成/持续开发过程是有意义的。通过正确的流程和工具集(包括软件构建分析),开发团队可以更快地修复历史和最近发布的漏洞,使他们能够更快地发布更安全,更高质量的软件。