인수 기업으로서 감사를 의뢰하기 전에 조치를 취하고 결정을 내려야 하며, 결과를 받은 뒤에는 추가적인 의무사항이 있습니다.
10.1 필요에 맞는 감사 모델과 감사인을 선택하라
앞서 논의한 것처럼 세 가지 주요 감사 방법을 사용할 수 있으며, 자신의 구체적인 상황에 가장 적합한 방법이 무엇인지 결정해야 합니다.
10.2 무엇을 중요하게 여기는지 파악하라
소스 코드 감사 보고서는 스캔한 코드의 복잡도에 따라 상당한 양의 정보를 제공할 수 있습니다. 어떤 라이선스와 사용 사례가 중요한 것으로 간주되는지 식별하는 것이 중요합니다.
10.3 올바른 질문을 던져라
오픈소스 감사 보고서는 인수 대상 기업(타깃)의 소스 코드와 관련 라이선스에 대한 많은 정보를 제공합니다. 그러나 컴플라이언스(compliance) 관련 우려 사항을 명확히 하거나 확인하려면 그 밖의 여러 데이터 항목에 대한 추가 조사가 필요합니다. 이 절에서는 무엇이 중요한지 정리하고, 인수 대상 기업에 다루어야 할 질문을 구성하기 위한 출발점으로 일련의 질문을 제시합니다.
- 인수 대상 기업이 타깃 또는 인수 기업의 지식재산(IP)을 위태롭게 할 수 있는 라이선스의 코드를 사용했는가?
- 출처를 알 수 없거나 라이선스를 알 수 없는 코드 스니펫이 있는가?
- 인수 대상 기업의 오픈소스 컴플라이언스 관행이 충분히 성숙하고 포괄적인가?
- 인수 대상 기업이 자사 오픈소스 컴포넌트의 알려진 취약점을 추적하는가?
- 제품을 배포할 때 인수 대상 기업이 오픈소스 라이선스 의무사항을 충족하는 데 필요한 모든 자료(서면 제공, 각종 필수 고지, 해당되는 경우 소스 코드)를 제공하는가?
- 인수 대상 기업의 컴플라이언스 프로세스가 제품 출시 일정을 맞출 수 있도록 개발 속도에 부합하는가?
- 인수 대상 기업이 소스 코드 요청에 적시에 대응할 프로세스를 갖추고 있는가?
10.4 거래 실행 전에 해결해야 할 항목을 식별하라
경우에 따라 오픈소스 감사가 인수 기업에게 용인되지 않는 라이선스나 컴플라이언스 관행의 사례를 드러낼 수 있습니다. 이때 인수 기업은 거래 종결(closing)의 조건으로 해당 사례를 완화하도록 요청할 수 있습니다. 예를 들어 인수 대상 기업이 라이선스 A로 제공되는 코드 컴포넌트를 사용하지만, 인수 기업은 라이선스 A로 라이선스된 어떠한 소스 코드도 사용하지 못하게 하는 엄격한 정책(policy)을 두고 있을 수 있습니다. 이러한 상황에서는 양측이 논의하여 가능한 해결책을 찾아야 합니다.
10.5 인수 후 컴플라이언스 개선 계획을 수립하라
컴플라이언스 개선 계획 수립은 인수 기업이 자회사로 계속 운영될 소규모 스타트업을 인수하는 대기업인 경우 특히 중요합니다. 이러한 상황에서 인수 기업은 인수 대상 기업이 공식 컴플라이언스 정책과 프로세스를 수립하도록 돕고, 자사의 관행에 대한 교육을 제공하며, 지속적인 안내와 지원을 제공하는 경우가 많습니다.