De Linux Foundation heeft onlangs het ACT-project gelanceerd (Automated Compliance Tooling), die zal werken aan de ontwikkeling van tools om de naleving van de vereisten van open licenties te waarborgen
El Het belangrijkste doel van ACT is om investeringen in deze tools te consolideren, zorg voor overdraagbaarheid tussen hen en vergroot de bruikbaarheid, wat organisaties helpt om complianceverplichtingen te beheren.
Over ACT
Het initiatief omvat tools die worden gebruikt om gebieden zoals het onderhoud van metagegevens te automatiseren met informatie over codelicenties, analyse van projecten voor het lenen van code en het gebruik van open licenties, evaluatie van de compatibiliteit van producten die zijn ontwikkeld met gratis en open licenties.
Met de tools kunnen bedrijven hun werk vereenvoudigen om elkaar te ontmoeten met de toegestane zuiverheid van de producten die worden geopend.
Evenals het kunnen uitvoeren van een audit van nieuwe softwareafhankelijkheden of het verifiëren van de code Ontwikkeld achter gesloten deuren om te voorkomen dat componenten worden toegevoegd die worden gedistribueerd onder incompatibele licenties.
De tools kunnen ook aanzienlijke hulp bieden bij het controleren van licentienaleving voor grote projecten die een combinatie van veel open en propriëtaire componenten gebruiken.
Bv Het is mogelijk om de open licenties te bepalen die bij de code betrokken zijn, mogelijke kruispunten en conflicten te identificeren, potentiële risico's in te schatten en een kaart te maken van het intellectuele eigendom dat in het project wordt gebruikt.
Welke projecten maken deel uit van ACT?
Het ACT-project en met de bijdragen van de Linux Foundation-organisatie zullen de volgende tools ontwikkelen:
- FOSSologie is een set tools voor de automatische detectie van feiten over het gebruik van bepaalde softwarelicenties.
Broncodeanalyse, toewijzing van pakketmetagegevens in DEB- en RPM-indelingen, identificatie van auteursrechten, URL's en e-mailadressen wordt ondersteund. Ontworpen door HP.
- QMSTR (Quartermaster) - Een toolkit met de implementatie van bewezen bedrijfspraktijken voor het beheren van licentienaleving bij het ontwikkelen van softwareproducten.
QMSTR is geïntegreerd in de DevOps CI / CD-ontwikkelingscyclus en in de assemblagefase worden metrische gegevens verzameld met informatie over de verzamelde code en de gebruikte afhankelijkheden. Het project is ontwikkeld door Endocode.
- SPDX (SPDX) is een set specificaties en gerelateerde hulpprogramma's voor het publiceren en uitwisselen van informatie over licenties en intellectuele eigendom die wordt gebruikt in verschillende componenten van softwarepakketten.
Hiermee kunt u niet alleen de algemene licentie specificeren voor het hele pakket, maar ook de bijzonderheden van de licentie van bestanden en individuele fragmenten, de eigenaren van de code eigendomsrechten en de personen die betrokken zijn bij de herziening van de gelicentieerde zuiverheid.
Tern is een hulpmiddel voor het inspecteren van containerafbeeldingen, waarmee u kunt bepalen welke pakketten worden gebruikt om uw fills te vormen. Het project is ontwikkeld door VMware en ingediend bij de Linux Foundation.
“Licentienaleving is een zeer belangrijke factor in het open source-ecosysteem.
Met QMSTR zijn we begonnen met het bouwen van een toolchain die zich richt op het vinden van gegevens en nauwkeurige, volledige en up-to-date nalevingsdocumentatie voor elke softwarebouw.
Endocode is verheugd om QMSTR bij te dragen aan ACT en het samen met The Linux Foundation en de andere projectpartners naar een hoger niveau te tillen, "aldus Mirko Boehm, CEO van Endocode van het QMSTR-project.
Twee andere projecten sluiten zich ook aan
ACT verwelkomt ook twee nieuwe projecten die zullen worden gehost door de Linux Foundation als onderdeel van het initiatief, naast de twee bestaande Linux Foundation-projecten die deel zullen uitmaken van het nieuwe project.
De nieuwe projecten zijn complementair aan bestaande nalevingsprojecten van de Linux Foundation.
Zo is het geval OpenChain, dat de belangrijkste processen identificeert die worden aanbevolen voor het naleven van open source licenties eenvoudiger en consistenter zijn.
En Open Compliance Program, dat ontwikkelaars en bedrijven opleidt en helpt hun licentievereisten te begrijpen en hoe u efficiënte, wrijvingsloze en vaak geautomatiseerde processen kunt bouwen om compliance te ondersteunen.