Linux Foundation nedávno zahájila projekt ACT (Automated Compliance Tooling), který bude pracovat na vývoji nástrojů souvisejících se zajištěním souladu s požadavky otevřených licencí
El Hlavním cílem ACT je konsolidace investic do těchto nástrojů, zajištění přenositelnosti mezi nimi a zvýšení použitelnosti, což organizacím pomáhá zvládat povinnosti v oblasti dodržování předpisů.
O společnosti ACT
Iniciativa zahrnuje nástroje používané k automatizaci oblastí, jako je údržba metadat s informacemi o kódových licencích, analýzou projektů pro zapůjčení kódu a použití otevřených licencí, hodnocením kompatibility produktů vyvinutých s otevřenými a bezplatnými licencemi.
Tyto nástroje umožňují společnostem zjednodušit práci s povolenou čistotou otevřených produktů.
Stejně jako schopnost provádět audit nových závislostí softwaru nebo ověřovat kód Vyvinuto za zavřenými dveřmi, aby se zabránilo přidávání komponent distribuovaných pod nekompatibilními licencemi.
Nástroje mohou také poskytnout významnou pomoc při monitorování dodržování licencí u velkých projektů, které používají kombinaci mnoha otevřených a proprietárních komponent.
Např Je možné určit otevřené licence obsažené v kódu, identifikovat možné křižovatky a konflikty, posoudit potenciální rizika a vytvořit mapu duševního vlastnictví použitého v projektu.
Jaké projekty budou součástí ACT?
Projekt ACT as přispěním organizace Linux Foundation vyvine následující nástroje:
- FOSSologie je sada nástrojů pro automatickou detekci skutečností o použití určitých softwarových licencí.
Je podporována analýza zdrojového kódu, mapování metadat balíčku ve formátech DEB a RPM, identifikace autorských práv, URL a e-mailové adresy. Navrženo společností HP.
- QMSTR (Quartermaster) - Sada nástrojů s implementací osvědčených obchodních postupů pro správu dodržování licencí při vývoji softwarových produktů.
QMSTR je integrován do vývojového cyklu DevOps CI / CD a ve fázi montáže shromažďuje metriky s informacemi o shromážděném kódu a použitých závislostech. Projekt byl vyvinut společností Endocode.
- SPDX (SPDX) je sada specifikací a souvisejících nástrojů pro publikování a výměnu informací o licencích a duševním vlastnictví používaných v různých součástech softwarových balíků.
Umožňuje určit nejen obecnou licenci za celé balení, ale také zvláštnosti licence souborů a jednotlivých fragmentů, majitelé vlastnických práv ke kódu a osoby podílející se na kontrole jeho licencované čistoty.
Tern je nástroj pro kontrolu obrazů kontejnerů, který vám umožní určit, které balíčky se používají k vytvoření vašich výplní. Projekt byl vyvinut společností VMware a předložen nadaci Linux Foundation.
„Dodržování licencí je velmi důležitým faktorem v ekosystému otevřeného zdroje.
S QMSTR jsme začali budovat nástrojovou řadu, která se zaměřuje na vyhledávání dat a přesnou, úplnou a aktuální dokumentaci o shodě pro každé sestavení softwaru.
Endocode je velmi nadšený, že může přispět QMSTR do ACT a posunout ho na další úroveň společně s The Linux Foundation a dalšími partnery projektu, “řekl Mirko Boehm, CEO Endocode projektu QMSTR.
Připojte se také ke dvěma dalším projektům
ACT rovněž vítá dva nové projekty, které budou v rámci této iniciativy hostovány nadací Linux Foundation, kromě dvou stávajících projektů Linux Foundation, které budou součástí nového projektu.
Nové projekty doplňují stávající projekty shody s Linux Foundation.
Takový je případ OpenChain, který identifikuje klíčové procesy doporučené pro dodržování licencí open source být jednodušší a konzistentnější.
A Program Open Compliance, který vzdělává a pomáhá vývojářům a společnostem porozumět jejich licenčním požadavkům a jak stavět efektivní, bez tření a často automatizované procesy na podporu dodržování předpisů.