A Linux Foundation lançou recentemente o projeto ACT (Ferramentas de conformidade automatizadas), que trabalhará no desenvolvimento de ferramentas relacionadas a garantir o cumprimento dos requisitos das licenças abertas
El O principal objetivo do ACT é consolidar os investimentos nessas ferramentas, garantindo a portabilidade entre eles e aumentando a usabilidade, o que ajuda as organizações a gerenciar as obrigações de conformidade.
Sobre a ACT
A iniciativa envolve ferramentas usadas para automatizar áreas como manutenção de metadados com informações sobre licenças de código, análise de projetos para empréstimo de código e utilização de licenças abertas, avaliação da compatibilidade de produtos desenvolvidos com licenças abertas e livres.
As ferramentas permitem que as empresas simplifiquem seu trabalho para atender com a pureza autorizada dos produtos que são abertos.
Além de ser capaz de realizar uma auditoria de novas dependências de software ou verificar o código Desenvolvido a portas fechadas para evitar a adição de componentes distribuídos sob licenças incompatíveis.
As ferramentas também podem fornecer assistência significativa no monitoramento da conformidade da licença para grandes projetos que usam uma combinação de muitos componentes abertos e proprietários.
Por exemplo É possível determinar as licenças abertas envolvidas no código, identificar possíveis cruzamentos e conflitos, avaliar potenciais riscos e construir um mapa da propriedade intelectual utilizada no projeto.
Quais projetos farão parte do ACT?
O projeto ACT e com as contribuições da organização Linux Foundation desenvolverá as seguintes ferramentas:
- FOSSologia é um conjunto de ferramentas para a detecção automatizada de fatos de uso de determinadas licenças de software.
Análise de código-fonte, mapeamento de metadados de pacote nos formatos DEB e RPM, identificação de direitos autorais, URLs e endereços de e-mail são suportados. Desenhado pela HP.
- QMSTR (Quartermaster) - Um kit de ferramentas com a implementação de práticas comerciais comprovadas para gerenciar a conformidade de licenças ao desenvolver produtos de software.
O QMSTR é integrado ao ciclo de desenvolvimento do DevOps CI / CD e, na fase de montagem, acumula métricas com informações sobre o código coletado e as dependências utilizadas. O projeto foi desenvolvido pela Endocode.
- SPDX (SPDX) é um conjunto de especificações e utilitários relacionados para publicação e troca de licenciamento e informações de propriedade intelectual usadas em vários componentes de pacotes de software.
Permite especificar não só a licença geral para todo o pacote, mas também as particularidades da licença de arquivos e fragmentos individuais, os detentores dos direitos de propriedade do código e as pessoas envolvidas na revisão de sua pureza licenciada.
O Tern é uma ferramenta para inspecionar imagens de contêineres, permitindo determinar quais pacotes são usados para formar seus preenchimentos. O projeto foi desenvolvido pela VMware e submetido à Linux Foundation.
“A conformidade com licenças é um fator muito importante no ecossistema de código aberto.
Com o QMSTR, começamos a construir uma cadeia de ferramentas que se concentra na localização de dados e na documentação de conformidade precisa, completa e atualizada para cada construção de software.
A Endocode está muito animada em contribuir com o QMSTR para o ACT e levá-lo para o próximo nível junto com a The Linux Foundation e os outros parceiros do projeto ", disse Mirko Boehm, CEO da Endocode do projeto QMSTR.
Dois outros projetos também se juntam
O ACT também dá as boas-vindas a dois novos projetos que serão hospedados pela Linux Foundation como parte da iniciativa, além dos dois projetos existentes da Linux Foundation que farão parte do novo projeto.
Os novos projetos são complementares aos projetos de conformidade da Linux Foundation existentes.
Tal é o caso de OpenChain, que identifica os principais processos recomendados para tornar a conformidade com licenças de código aberto seja mais simples e consistente.
E a Programa de conformidade aberta, que educa e ajuda desenvolvedores e empresas a entender seus requisitos de licenciamento e como criar processos eficientes, sem atrito e muitas vezes automatizados para dar suporte à conformidade.