新思科技解析如何降低并购时API和Web服务风险

在技术并购中，对软件本身的尽职调查必须考虑其体系结构和代码。体系结构提供了基础，定义了如何汇编和构造代码；深入研究代码，可能会发现技术缺陷，包括错误、安全漏洞、许可问题以及其它需要修改代码的问题。

如今，相比编写代码，开发人员更可能为他们的应用程序组装代码。当然，他们仍会编写关键的业务的代码。但是，代码库中包含多达90％的开源或第三方组件，开发人员可将代码重用于常见功能，节约时间。有一种可重用的组件类型是基于API的Web服务，其中许多可免费用于开发基本功能。但是，使用基于API的Web服务可能会产生版权、最终用户许可、使用条款以及数据和隐私政策等相关问题。

开发人员经常在互联网上找到适用于其应用程序的有用API。但是软件开发公司可能无法控制甚至不知道开发人员正在使用哪些API。然后，您的公司有一天决定购买该开发公司。您要如何在收购的时候减少基于API的Web服务的相关风险？

减少基于API的Web服务的4个方面的风险

当您考虑收购的公司有软件需要进行实质性估值，而且此类软件是基于API的Web服务时，需要注意以下4个方面：

法律和合规风险

API安全风险

数据隐私风险

运营/业务风险

1.  法律和合规风险

基于API的Web服务通常伴随版权问题和使用条件，您需要了解这些版权和使用条件。使用条款也可能是复杂且不断变化的。当使用条款更改时，用户只要是继续使用基于API的Web服务即表示同意新条款。可以说，当您购买基于API的公司许可的Web服务时，您还可能继承了其法律和合规风险。

2.  API 安全风险

基于API的Web服务给收购方带来了两个风险：API发送的数据和接收的数据。发送的数据可能会泄漏或被窃听；接收的数据可能包括可执行文件、篡改的图像、病毒或恶意代码。而且，无论是发送还是接受的数据都可能受到中间人攻击。

3.  数据隐私风险

企业有时会将来自API的数据与从其它来源获得的数据区别对待。当涉及到数据隐私时，所有数据，尤其是个人身份信息（PII），都需要同样的保护。作为收购方，您必须对多方面进行尽职调查，包括目标应用程序如何处理API数据、如何将其与其它来源的匿名数据进行合并以及在何处（从地理角度而言）将数据发送至何处、从何处接收、存储并处理等，还需要审查其是否遵守区域数据隐私法规，例如欧洲的《通用数据保护条例》(GDPR)。

4.  运营/业务风险

基于API的Web服务是免费的，不提供服务级别协议(SLA)。在寻找潜在的收购机会时，您需要知道使用免费Web服务会带来哪些持续的风险。如果吊销了API许可证、不赞成使用API或竞争对手购买了API提供商并限制了直接竞争的访问权限，您最终可能会遇到业务无法进展的问题。您必须制定应急计划，以随时应对API出于任何原因变得不可用的情况。

3个步骤缓解基于API的Web服务风险

与对开源软件的审查一样，收购方要降低基于API的Web服务风险，必须围绕着全面披露和发现。基本上，需要三个步骤：

1.  识别应用程序中所有基于API的Web服务。明确地知道应用了哪些API，提供了哪些数据，它们的关联许可证以及使用了多少和使用频率。您可以通过询问应用程序开发人员来获取此信息，或者最好通过使用API /代码扫描器对应用程序的API进行审核。

2.  分析应用程序的API许可证。仔细检查应用程序的API许可，以确保目标公司正确遵守合同条款。审查在理论上和现实中使用API是否有不一致之处。另外，请留意应该提供和实际提供的数据之间存在的任何差异。

3.  制定补救计划。补救计划应涵盖不同类别的问题，包括代码、法律、冗余和突发事件、数据隐私和合同风险分配等。这将分别涉及由于服务中断而更换API、寻求对现有许可证的补充或弃用、准备好API备份、向用户群通知收集和传输了哪些数据，以及让目标公司对交易中包含的基于API的Web服务提供具有约束力的证明和保证。