破解代码:开源软件符合M&A World

传统上,软件是从头开始构建的,但是如今的要求变得更加复杂。软件的发展现在已经导致软件模块化,并且开发人员的工作现在主要涉及组装来自各种来源的组件,包括许多可从Internet免费获得的组件。这种“开源”软件使开发人员可以在其他人的工作基础上进行开发,他们可以调整组件并将其与其他软件集成以生产特定产品。根据Forrester Research的调查,开放源代码现在占新应用程序代码的90%。这是宝贵的资源,可让软件开发人员以更经济的方式构建应用程序并将其快速推向市场。

当然,这些开源组件通常附带一个许可证,该许可证定义了您所拥有的权利。这些许可证还包含开发人员并不总是考虑的义务。

这与M有什么关系&一个世界?好吧,菲尔·奥登斯(Phil Odence)向我们解释说,当一家公司购买另一家在软件方面具有很多价值的公司时,律师希望确保其知识产权是明确的,并且该软件不会因许可证侵权或全部侵权而负担沉重网络安全漏洞。 

菲尔(Phil)是黑鸭按需审计部的副总裁兼总经理;他与M合作&A和技术律师可以帮助他们找到在哪里使用了开源代码,并确定他们应该知道的任何风险。

  

开源(OS)软件的使用如何改变了律师的尽职调查流程?

使用OS非常适合提高软件开发效率。但是麻烦的是,许多公司在使用它时都没有完全意识到它随附的许可协议,或者没有必要不断检查它的网络安全漏洞。如今,大多数收购方都希望确保在交易完成之前提前知道目标代码的真正含义。因此,开源代码审核和风险评估已成为技术尽职调查过程中的重要组成部分。

 

您是否听说过发现潜在问题为时已晚的情况?那有什么影响?

最好的例子是思科十年前收购Linksys。在花费了十亿美元之后不久,他们就因违反开放源代码许可证而受到诉讼,结果导致媒体报道不佳,律师费以及最终庭外和解。尽管这些条款不是公开的,但很可能要求他们向原告付款,实施开源管理程序并向所有人公开所有所有人的软件。这可能是最坏的情况。

 

什么样的M&进行交易可能很重要,要找出(被收购的)公司在哪里使用了操作系统,并因此使其扫描成为尽职调查过程的重要组成部分?

任何时候软件资产对公司的价值至关重要。当软件是公司的主要资产时,至关重要的是要了解正在使用的开源软件,正在使用的开源软件以及任何许可或安全风险。

 

公司使用开源软件的频率如何?用途在增长吗?

在当今以敏捷软件开发为关键的世界中,OS软件的使用非常频繁。通过分析最近对客户的审核,Black Duck收集了一组200个软件应用程序,发现几乎所有这些应用程序都使用OS。实际上,我们在98%的审计应用程序中都发现了操作系统。十年前,由10%或更少操作系统组成的软件是正常的,但如今,开源现在已占新应用程序代码的90%。

组织必须采用自动化流程来获得开发人员正在使用的OS组件的可见性-手动流程很少有效。例如,当我们向代码所有者要求使用的操作系统列表时,我们只会在50%的时间内收到响应,因为在大多数情况下,他们只是不知道。如果我们确实获得了一份清单,那么该清单只会显示我们最终在审计中发现的OS代码的一半。

 

律师在多大程度上已经熟悉并了解了这一点,并在尽职调查中考虑了这一点?

大多数技术和商业律师都对OS许可证合规风险有所了解。但是,即使在大型国际律师事务所中,通常也只有少数几位具备所需独特专业知识的律师。中号&涉及交易各个方面的律师将把他们的专家同事带入软件是交易重要部分的交易中。

 

您知道这种开源知识是否会因国家而异?

在技​​术开发盛行的任何地方,例如在英国和德国,对开源的知识及其合法性都是众所周知的。我要说的是,美国与欧洲的不同之处在于,在欧洲,公司更依赖法律机制,而不是像黑鸭这样的专家来执行检查并准确地确定情况。我不确定为什么会这样,因为欧洲围绕开源的诉讼越来越多,所以我希望将来在欧洲进行更多的审查。

 

开源软件和应有的尽职调查流程会产生什么问题?公司如何克服提出的问题?

交易中的两家公司通常都不了解目标公司的软件资产中的OS代码的类型和范围。黑鸭有助于建立双方的使用。当您知道正在使用什么操作系统以及在何处使用操作系统时,就可以评估潜在风险并着手解决这些风险。

出现的问题包括与许可证有关的法律问题(这是公司来黑鸭进行审计的主要动力),运营问题和风险以及安全性问题。法律风险涉及超出许可中授予的权利或不满足许可中规定的义务的OS使用。例如,几乎所有许可证都规定您必须为创建许可证的人提供出处。操作风险涉及评估代码的质量,某些组件是否会使代码库的维护成本更高等。

操作系统使用中的一大风险就是网络安全。我们研究的OS组件中约有三分之二具有已知的安全漏洞。收购者想知道这些以及任何可能构成真正威胁的东西。例如,是否存在可能暴露了诸如设​​计或客户数据之类的敏感信息的风险?

解决这些问题有两种基本方法:技术解决方案和业务解决方案。技术解决方案可能意味着要履行许可义务,例如,要求版权所有者允许重写组件。从业务角度来看,可能会修改交易的估值和条款。通常会使用现金扣留,以防发生诉讼或第一年内出现问题。有时交易只是被延迟了,而交易在解决问题时被搁置了;一些公司喜欢在所有权转让之前解决问题,有些公司则愿意在交易之后解决问题。

 

有些问题比其他问题产生的更多吗?

软件中的安全漏洞是一个大问题。超过80%的网络攻击都针对软件应用程序。由于这些应用程序中的大多数代码现在都是操作系统,因此了解正在使用的内容,代码库中的位置以及防止已知漏洞的安全至关重要。在我们进行的几乎所有审核中,我们都发现漏洞,其中一些漏洞是几年前公开发布的。有些漏洞声名狼藉,以至于赢得了人们的名声。自2014年初以来,Heartbleed,Dirty Cow和Drown只是大约6000个漏洞中的三个。公司需要更好地跟踪他们使用的开放源代码组件,使用的位置以及确保这些组件保持最新状态。迄今为止和修补。

 

当人们意识到这一点后,您会在五到十年内看到这种变化吗?

我要说的是,公司在软件管理方面的时间已经越来越好。展望未来,我认为公司将更好地了解其软件中的内容并管理这些风险。除审核外,Black Duck的主要业务还为公司提供工具,帮助他们自己管理这些风险。

 

尽职调查的过程是否可以更广泛—对律师来说更有效,以确保其过程更清洁,更快?

如果公司要在操作系统管理方面做得更好,那么他们的问题就会更少,而律师的需求也会更少。此刻,我会说M&律师确实需要与他们的技术同事交谈,并考虑3 rd 第三方审核服务,以真正了解操作系统的使用并确定可能隐藏的风险。

 

发表评论