（新思科技高级技术撰稿人Derek Handova）企业并购有一定的风险，收购方需要从财务、法律、客户群、员工以及技术等多个方面去做全面衡量。如果目标公司的资产涉及到软件，除了评估软件本身的价值，软件背后的风险更需要审查，包括开源安全。
 
如今，相比编写代码，开发人员更可能为他们的应用程序组装代码。当然，他们仍会编写关键的业务的代码。但是，代码库中包含多达90％的开源或第三方组件，开发人员可将代码重用于常见功能，节约时间。有一种可重用的组件类型是基于API的Web服务，其中许多可免费用于开发基本功能。但是，使用基于API的Web服务可能会产生版权、最终用户许可、使用条款以及数据和隐私政策等相关问题。
 
开发人员经常在互联网上找到适用于其应用程序的有用API。但是软件开发公司可能无法控制甚至不知道开发人员正在使用哪些API。然后，您的公司有一天决定购买该开发公司。您要如何在收购的时候减少基于API的Web服务的相关风险？
 
减少基于API的Web服务的4个方面的风险
 
当您考虑收购的公司有软件需要进行实质性估值，而且此类软件是基于API的Web服务时，需要注意以下4个方面：
 
Ÿ 法律和合规风险
Ÿ API安全风险
Ÿ 数据隐私风险
Ÿ 运营/业务风险
 
1. 法律和合规风险
 
基于API的Web服务通常伴随版权问题和使用条件，您需要了解这些版权和使用条件。使用条款也可能是复杂且不断变化的。当使用条款更改时，用户只要是继续使用基于API的Web服务即表示同意新条款。可以说，当您购买基于API的公司许可的Web服务时，您还可能继承了其法律和合规风险。
 
 
2. API 安全风险
 
基于API的Web服务给收购方带来了两个风险：API发送的数据和接收的数据。发送的数据可能会泄漏或被窃听；接收的数据可能包括可执行文件、篡改的图像、病毒或恶意代码。而且，无论是发送还是接受的数据都可能受到中间人攻击。
 
3. 数据隐私风险
 
企业有时会将来自API的数据与从其它来源获得的数据区别对待。当涉及到数据隐私时，所有数据，尤其是个人身份信息（PII），都需要同样的保护。作为收购方，您必须对多方面进行尽职调查，包括目标应用程序如何处理API数据、如何将其与其它来源的匿名数据进行合并以及在何处（从地理角度而言）将数据发送至何处、从何处接收、存储并处理等，还需要审查其是否遵守区域数据隐私法规，例如欧洲的《通用数据保护条例》(GDPR)。
 
4. 运营/业务风险
 
基于API的Web服务是免费的，不提供服务级别协议(SLA)。在寻找潜在的收购机会时，您需要知道使用免费Web服务会带来哪些持续的风险。如果吊销了API许可证、不赞成使用API​​或竞争对手购买了API提供商并限制了直接竞争的访问权限，您最终可能会遇到业务无法进展的问题。您必须制定应急计划，以随时应对API出于任何原因变得不可用的情况。
 
3个步骤缓解基于API的Web服务风险
 
与对开源软件的审查一样，收购方要降低基于API的Web服务风险，必须围绕着全面披露和发现。基本上，需要三个步骤：
 
1. 识别应用程序中所有基于API的Web服务。明确地知道应用了哪些API，提供了哪些数据，它们的关联许可证以及使用了多少和使用频率。您可以通过询问应用程序开发人员来获取此信息，或者最好通过使用API​​ /代码扫描器对应用程序的API进行审核。
 
 
 
 
2. 分析应用程序的API许可证。仔细检查应用程序的API许可，以确保目标公司正确遵守合同条款。审查在理论上和现实中使用API​​是否有不一致之处。另外，请留意应该提供和实际提供的数据之间存在的任何差异。
 
3. 制定补救计划。补救计划应涵盖不同类别的问题，包括代码、法律、冗余和突发事件、数据隐私和合同风险分配等。这将分别涉及由于服务中断而更换API、寻求对现有许可证的补充或弃用、准备好API备份、向用户群通知收集和传输了哪些数据，以及让目标公司对交易中包含的基于API的Web服务提供具有约束力的证明和保证。