Linux Foundation унифицирует инструментарий для проверки соблюдения открытых лицензий

Организация Linux Foundation представила новый проект ACT (Automated Compliance Tooling), в рамках которого будет вестись работа по развитию инструментов, связанных с обеспечением соблюдения требований открытых лицензий. Основной целью ACT является консолидация инвестиций в подобные инструменты, обеспечение переносимости между ними и повышение удобства работы.

Инициатива затрагивает инструменты, применяемые для автоматизации таких областей, как поддержание метаданных с информацией о лицензиях на код, анализ проектов на предмет заимствования кода и использования открытых лицензий, оценка совместимости разрабатываемых продуктов с открытыми и свободными лицензиями. Инструменты позволяют компаниям упростить работу по соблюдению лицензионной чистоты открываемых продуктов, проведения аудита новых программных зависимостей или выполнению проверки разрабатываемого за закрытыми дверями кода для исключения добавления компонентов, распространяемых под несовместимыми лицензиями.

Инструменты также могут оказать значительную помощь в контроле за соблюдением лицензий в крупных проектах, в которых используется смесь из множества как открытых, так и проприетарных компонентов. Например, предоставляется возможность определить задействованные в коде открытые лицензии, обозначить возможные пересечения и конфликты, оценить потенциальные риски и построить карту используемой в проекте интеллектуальной собственности.

В рамках проекта ACT и под эгидой организации Linux Foundation будут развиваться следующие инструменты:

  • FOSSology — инструментарий для автоматизированного выявления фактов использования в программном обеспечении тех или иных лицензий. Поддерживается анализ исходных текстов, выделение мета-данных из пакетов в форматах DEB и RPM, выявление упоминания авторских прав, URL и email-адресов. Проект разработан компанией HP;
  • QMSTR (Quartermaster) — инструментарий с реализацией зарекомендовавших на предприятиях практик по управлению соблюдением лицензий при разработке программных продуктов. QMSTR интегрируется в цикл разработки DevOps CI/CD и на этапе сборки накапливает метрики с информацией о собираемом коде и используемых зависимостях. Проект разработан компанией Endocode;
  • SPDX (SPDX) — набор спецификаций и связанных с ними утилит для публикации и обмена информацией о лицензиях и интеллектуальной собственности, используемых в различных компонентах программных пакетов. Спецификация позволяет указать не только общую лицензию на весь пакет, но и определить особенности лицензирования отдельных файлов и фрагментов, указать владельцев имущественных прав на код и людей занимавшихся рецензированием его лицензионной чистоты;
  • Tern — инструмент для инспектирования образов контейнеров, позволяющий определить какие пакеты использованы при формировании их начинки. Проект разработан компанией VMware и передан в Linux Foundation.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.