Linux Foundation startet nylig ACT-prosjektet (Automated Compliance Tooling), som vil arbeide med utvikling av verktøy knyttet til å sikre samsvar med kravene til åpne lisenser
El ACTs hovedmål er å konsolidere investeringene i disse verktøyene, sikre bærbarhet mellom dem og øke brukervennligheten, noe som hjelper organisasjoner med å håndtere overholdelsesforpliktelser.
Om ACT
Initiativet innebærer verktøy som brukes til å automatisere områder som vedlikehold av metadata med informasjon om kodelisenser, analyse av prosjekter for kodelån og bruk av åpne lisenser, evaluering av kompatibiliteten til produkter utviklet med åpne og gratis lisenser.
Verktøyene gjør det mulig for bedrifter å forenkle arbeidet sitt med den autoriserte renheten til produktene som åpnes.
I tillegg til å kunne utføre en revisjon av nye programvareavhengigheter eller verifisere koden Utviklet bak lukkede dører for å unngå å legge til komponenter distribuert under inkompatible lisenser.
Verktøyene kan også gi betydelig hjelp til å overvåke lisensoverholdelse for store prosjekter som bruker en kombinasjon av mange åpne og proprietære komponenter.
Eg Det er mulig å bestemme de åpne lisensene som er involvert i koden, identifisere mulige kryss og konflikter, vurdere potensielle risikoer og lage et kart over den immaterielle eiendommen som brukes i prosjektet.
Hvilke prosjekter vil være en del av ACT?
ACT-prosjektet og med bidrag fra Linux Foundation-organisasjonen vil utvikle følgende verktøy:
- FOSSologi er et sett med verktøy for automatisk oppdagelse av fakta om bruk av visse programvarelisenser.
Kildekodeanalyse, kartmetadatakartlegging i DEB- og RPM-format, identifikasjon av opphavsrett, URL-er og e-postadresser støttes. Designet av HP.
- QMSTR (Quartermaster) - En verktøykasse med implementering av påvist forretningspraksis for å håndtere lisensoverensstemmelse når du utvikler programvareprodukter.
QMSTR er integrert i DevOps CI / CD-utviklingssyklusen, og i monteringsfasen samler den beregninger med informasjon om koden som er samlet inn og avhengighetene som brukes. Prosjektet ble utviklet av Endocode.
- SPDX (SPDX) er et sett med spesifikasjoner og relaterte verktøy for publisering og utveksling av lisenser og immateriell informasjon som brukes i forskjellige komponenter i programvarepakker.
Det gjør det mulig å spesifisere ikke bare den generelle lisensen for hele pakken, men også særegenheter ved lisens for filer og individuelle fragmenter, eierne av koden eiendomsrett og personene som er involvert i gjennomgangen av dets lisensierte renhet.
Tern er et verktøy for inspeksjon av containerbilder, som lar deg bestemme hvilke pakker som brukes til å danne dine fyllinger. Prosjektet ble utviklet av VMware og sendt til Linux Foundation.
“Overholdelse av lisenser er en veldig viktig faktor i open source-økosystemet.
Med QMSTR begynte vi å bygge en verktøykjede som fokuserer på å finne data og nøyaktig, komplett og oppdatert samsvarsdokumentasjon for hver programvarebygging.
Endocode er veldig spent på å bidra med QMSTR til ACT og ta det til neste nivå sammen med The Linux Foundation og de andre prosjektpartnerne, "sa Mirko Boehm, administrerende direktør i Endocode i QMSTR-prosjektet.
To andre prosjekter blir også med
ACT ønsker også velkommen til to nye prosjekter som vil bli arrangert av Linux Foundation som en del av initiativet, i tillegg til de to eksisterende Linux Foundation-prosjektene som vil være en del av det nye prosjektet.
De nye prosjektene er komplementære til eksisterende Linux Foundation-samsvarsprosjekter.
Slik er tilfellet av OpenChain, som identifiserer nøkkelprosessene som anbefales for å gjøre samsvar med åpen kildekode være enklere og mer konsekvent.
Og Open Compliance Program, som utdanner og hjelper utviklere og selskaper til å forstå lisenskravene sine og hvordan du bygger effektive, friksjonsfrie og ofte automatiserte prosesser for å støtte samsvar.