通常、惭&补尘辫;础取引におけるデューデリジェンスを调整するのは実业家や弁护士です。わずかながら元开発者もいるかもしれません。元开発者は多くの场合、ソフトウェアがどのように构筑されるかをある程度理解しており、少なくとも技术的なリスクについて直観的な感覚を持っています。弁护士、公司开発担当者、金融投资家は、ソフトウェアの开発方法と、开発が轨道を外れる可能性のあるポイントについて理解が深まるにつれ、ソフトウェアのリスクに対して会社や顾客に适切に注意唤起できるようになります。これにより、取引成立后の管理のあり方をより的确に计画することができます。
プロセスを遵守する
组织のソフトウェア开発チームとプロセスによって、コードの属性が决まります。优れたソフトウェアを开発するには、プロセスの适切な设计が重要です。プロセスの详细により、具体的な出力属性が决まります。开発者がアプリケーション?セキュリティに関する十分なトレーニングを受け、日常的に静的アプリケーション?セキュリティ?テスト(厂础厂罢)ツールを使用していれば、ソフトウェアのセキュリティが向上する可能性が高くなります。
プロセスが适切に设计されている必要があることは当然ですが、実态とドキュメントの内容が乖离している场合があります。ベストプラクティスを遵守できるのは、适切に管理された规律ある组织だけです。激务で开発が进まないケースが多く见受けられます。もちろん、セキュリティ?コードの彻底的なレビューには意义がありますが、プロジェクトが遅れ、リリースの期限が迫っているときに、チームは计画を守るでしょうか。多くの场合、近道を选んで「技术的负债」を蓄积していきます。
评価を重ねる
组织と开発プロセスの评価は、取引成立后の计画の基础となります。これにより、开発チームがロードマップの実行段阶でどの程度の成果を実现できるかについての将来的な见通しが得られます。また、买収公司の価値の大部分をソフトウェアが占めている场合は特に、コードの内容を评価することが重要です。定义されたプロセスを新たに実装する可能性がありますが、必ずしもそのプロセスに従うとは限りません。コードには技术的负债や、セキュリティ、品质、ライセンスの问题が山积し、チームはロードマップの実行に加えてこれらを解决する必要があります。金融负债が制御不能になる可能性があるのと同様に、技术的负债も制御不能になる可能性があり、「返済」をビジネス?ケースに组み込む必要があります。
大半の買収側企業は、組織とプロセスに対する一定のデューデリジェンスを自ら行っていますが、これは理にかなった重要なことです。コードに対する徹底的なデューデリジェンスによりプロセス評価を補完して全体像を完成させ、取引と取引完了後の統合計画を報告します。詳細は、ソフトウェア?プロジェクトで起こり得るあらゆる問題を見てきたDeclan Burns氏によるWebセミナー、および笔者による2つのホワイトペーパー「Understanding Software Development, Technical Debt, and Risk(ソフトウェア開発、技術的負債、リスクの理解)」と「Mitigating Risk in Mergers and Acquisitions(合併?買収におけるリスクの軽減)」をご覧ください。厂测苍辞辫蝉测蝉のソフトウェア?デューデリジェンス?チェックリストもお勧めします。これは私たちがこれまで见てきた中で最も包括的なチェックリストです。
この投稿に関连するタグ&苍产蝉辫;オープンソースとソフトウェア?サプライ?チェーンのリスク.
Continue Reading
「世界のDevSecOps の現状 2023」レポートから日本の課題を読み解く
