新思科技支招：3個(gè)步驟降低并購(gòu)盡職調(diào)查中API和Web服務(wù)風(fēng)險(xiǎn)

作者：新思科技高級(jí)技術(shù)撰稿人Derek Handova

全球每年有至少上千宗交易與技術(shù)并購(gòu)有關(guān)，價(jià)值不下于數(shù)十億美元。收購(gòu)方必須通過(guò)盡職調(diào)查來(lái)審查目標(biāo)公司的技術(shù)資產(chǎn)，以識(shí)別未知風(fēng)險(xiǎn)。

如今，相比編寫(xiě)代碼，開(kāi)發(fā)人員更可能為他們的應(yīng)用程序組裝代碼。當(dāng)然，他們?nèi)詴?huì)編寫(xiě)關(guān)鍵的業(yè)務(wù)的代碼。但是，代碼庫(kù)中包含多達(dá)90％的開(kāi)源或第三方組件，開(kāi)發(fā)人員可將代碼重用于常見(jiàn)功能，節(jié)約時(shí)間。有一種可重用的組件類(lèi)型是基于API的Web服務(wù)，其中許多可免費(fèi)用于開(kāi)發(fā)基本功能。但是，使用基于API的Web服務(wù)可能會(huì)產(chǎn)生版權(quán)、最終用戶許可、使用條款以及數(shù)據(jù)和隱私政策等相關(guān)問(wèn)題。

開(kāi)發(fā)人員經(jīng)常在互聯(lián)網(wǎng)上找到適用于其應(yīng)用程序的有用API。但是軟件開(kāi)發(fā)公司可能無(wú)法控制甚至不知道開(kāi)發(fā)人員正在使用哪些API。然后，您的公司有一天決定購(gòu)買(mǎi)該開(kāi)發(fā)公司。您要如何在收購(gòu)的時(shí)候減少基于API的Web服務(wù)的相關(guān)風(fēng)險(xiǎn)？

減少基于API的Web服務(wù)的4個(gè)方面的風(fēng)險(xiǎn)

當(dāng)您考慮收購(gòu)的公司有軟件需要進(jìn)行實(shí)質(zhì)性估值，而且此類(lèi)軟件是基于API的Web服務(wù)時(shí)，需要注意以下4個(gè)方面：

法律和合規(guī)風(fēng)險(xiǎn)

API安全風(fēng)險(xiǎn)

數(shù)據(jù)隱私風(fēng)險(xiǎn)

運(yùn)營(yíng)/業(yè)務(wù)風(fēng)險(xiǎn)

1.法律和合規(guī)風(fēng)險(xiǎn)

基于API的Web服務(wù)通常伴隨版權(quán)問(wèn)題和使用條件，您需要了解這些版權(quán)和使用條件。使用條款也可能是復(fù)雜且不斷變化的。當(dāng)使用條款更改時(shí)，用戶只要是繼續(xù)使用基于API的Web服務(wù)即表示同意新條款�？梢哉f(shuō)，當(dāng)您購(gòu)買(mǎi)基于API的公司許可的Web服務(wù)時(shí)，您還可能繼承了其法律和合規(guī)風(fēng)險(xiǎn)。

2.API 安全風(fēng)險(xiǎn)

基于API的Web服務(wù)給收購(gòu)方帶來(lái)了兩個(gè)風(fēng)險(xiǎn)：API發(fā)送的數(shù)據(jù)和接收的數(shù)據(jù)。發(fā)送的數(shù)據(jù)可能會(huì)泄漏或被竊聽(tīng)；接收的數(shù)據(jù)可能包括可執(zhí)行文件、篡改的圖像、病毒或惡意代碼。而且，無(wú)論是發(fā)送還是接受的數(shù)據(jù)都可能受到中間人攻擊。

3.數(shù)據(jù)隱私風(fēng)險(xiǎn)

企業(yè)有時(shí)會(huì)將來(lái)自API的數(shù)據(jù)與從其它來(lái)源獲得的數(shù)據(jù)區(qū)別對(duì)待。當(dāng)涉及到數(shù)據(jù)隱私時(shí)，所有數(shù)據(jù)，尤其是個(gè)人身份信息（PII），都需要同樣的保護(hù)。作為收購(gòu)方，您必須對(duì)多方面進(jìn)行盡職調(diào)查，包括目標(biāo)應(yīng)用程序如何處理API數(shù)據(jù)、如何將其與其它來(lái)源的匿名數(shù)據(jù)進(jìn)行合并以及在何處（從地理角度而言）將數(shù)據(jù)發(fā)送至何處、從何處接收、存儲(chǔ)并處理等，還需要審查其是否遵守區(qū)域數(shù)據(jù)隱私法規(guī)，例如歐洲的《通用數(shù)據(jù)保護(hù)條例》(GDPR)。

4.運(yùn)營(yíng)/業(yè)務(wù)風(fēng)險(xiǎn)

基于API的Web服務(wù)是免費(fèi)的，不提供服務(wù)級(jí)別協(xié)議(SLA)。在尋找潛在的收購(gòu)機(jī)會(huì)時(shí)，您需要知道使用免費(fèi)Web服務(wù)會(huì)帶來(lái)哪些持續(xù)的風(fēng)險(xiǎn)。如果吊銷(xiāo)了API許可證、不贊成使用API?6?7?6?7或競(jìng)爭(zhēng)對(duì)手購(gòu)買(mǎi)了API提供商并限制了直接競(jìng)爭(zhēng)的訪問(wèn)權(quán)限，您最終可能會(huì)遇到業(yè)務(wù)無(wú)法進(jìn)展的問(wèn)題。您必須制定應(yīng)急計(jì)劃，以隨時(shí)應(yīng)對(duì)API出于任何原因變得不可用的情況。

3個(gè)步驟緩解基于API的Web服務(wù)風(fēng)險(xiǎn)

與對(duì)開(kāi)源軟件的審查一樣，收購(gòu)方要降低基于API的Web服務(wù)風(fēng)險(xiǎn)，必須圍繞著全面披露和發(fā)現(xiàn)。基本上，需要三個(gè)步驟：

1.識(shí)別應(yīng)用程序中所有基于API的Web服務(wù)。明確地知道應(yīng)用了哪些API，提供了哪些數(shù)據(jù)，它們的關(guān)聯(lián)許可證以及使用了多少和使用頻率。您可以通過(guò)詢問(wèn)應(yīng)用程序開(kāi)發(fā)人員來(lái)獲取此信息，或者最好通過(guò)使用API?6?7?6?7 /代碼掃描器對(duì)應(yīng)用程序的API進(jìn)行審核。

2.分析應(yīng)用程序的API許可證。仔細(xì)檢查應(yīng)用程序的API許可，以確保目標(biāo)公司正確遵守合同條款。審查在理論上和現(xiàn)實(shí)中使用API?6?7?6?7是否有不一致之處。另外，請(qǐng)留意應(yīng)該提供和實(shí)際提供的數(shù)據(jù)之間存在的任何差異。

3.制定補(bǔ)救計(jì)劃。補(bǔ)救計(jì)劃應(yīng)涵蓋不同類(lèi)別的問(wèn)題，包括代碼、法律、冗余和突發(fā)事件、數(shù)據(jù)隱私和合同風(fēng)險(xiǎn)分配等。這將分別涉及由于服務(wù)中斷而更換API、尋求對(duì)現(xiàn)有許可證的補(bǔ)充或棄用、準(zhǔn)備好API備份、向用戶群通知收集和傳輸了哪些數(shù)據(jù)，以及讓目標(biāo)公司對(duì)交易中包含的基于API的Web服務(wù)提供具有約束力的證明和保證。