Fundația Linux a lansat recent proiectul ACT (Instrumente de conformitate automate), care va lucra la dezvoltarea instrumentelor legate de asigurarea conformității cu cerințele licențelor deschise
El Principalul obiectiv al ACT este consolidarea investițiilor în aceste instrumente, asigura portabilitatea între ele și crește gradul de utilizare, care ajută organizațiile să gestioneze obligațiile de conformitate.
Despre ACT
Inițiativa implică instrumente utilizate pentru automatizarea unor zone precum întreținerea metadatelor cu informații despre licențele de cod, analiza proiectelor de împrumut de cod și utilizarea licențelor deschise, evaluarea compatibilității produselor dezvoltate cu licențe deschise și gratuite.
Instrumentele permit companiilor să-și simplifice activitatea pentru a se întâlni cu puritatea autorizată a produselor care sunt deschise.
Pe lângă posibilitatea de a efectua un audit al noilor dependențe de software sau de a verifica codul Dezvoltat în spatele ușilor închise pentru a evita adăugarea de componente distribuite sub licențe incompatibile.
Instrumentele pot oferi, de asemenea, asistență semnificativă în monitorizarea conformității licențelor pentru proiectele mari care utilizează o combinație de multe componente deschise și proprietare.
De exemplu, Este posibil să se determine licențele deschise implicate în cod, să se identifice posibile intersecții și conflicte, să se evalueze riscurile potențiale și să se construiască o hartă a proprietății intelectuale utilizate în proiect.
Ce proiecte vor face parte din ACT?
Proiectul ACT și cu contribuțiile organizației Linux Foundation vor dezvolta următoarele instrumente:
- FOSSologie este un set de instrumente pentru detectarea automată a faptelor de utilizare a anumitor licențe software.
Este acceptată analiza codului sursă, maparea metadatelor pachetelor în formatele DEB și RPM, identificarea drepturilor de autor, a adreselor URL și a adreselor de e-mail. Proiectat de HP.
- QMSTR (Quartermaster) - Un set de instrumente cu implementarea practicilor de afaceri dovedite pentru gestionarea conformității licențelor atunci când se dezvoltă produse software.
QMSTR este integrat în ciclul de dezvoltare DevOps CI / CD și în etapa de asamblare acumulează valori cu informații despre codul colectat și dependențele utilizate. Proiectul a fost dezvoltat de Endocode.
- SPDX (SPDX) este un set de specificații și utilități conexe pentru publicarea și schimbul de licențe și informații de proprietate intelectuală utilizate în diferite componente ale pachetelor software.
Permite specificarea nu numai a licenței generale pentru întregul pachet, dar și particularitățile licenței de fișiere și fragmente individuale, proprietarii drepturilor de proprietate ale codului și persoanele implicate în revizuirea purității sale autorizate.
Tern este un instrument pentru inspectarea imaginilor containerelor, permițându-vă să determinați ce pachete sunt utilizate pentru a vă forma umpluturile. Proiectul a fost dezvoltat de VMware și trimis la Linux Foundation.
„Respectarea licențelor este un factor foarte important în ecosistemul open source.
Cu QMSTR, am început să construim un lanț de instrumente care să se concentreze pe găsirea datelor și a documentației de conformitate exacte, complete și actualizate pentru fiecare construcție de software.
Endocode este foarte încântat să contribuie cu QMSTR la ACT și să îl ducă la nivelul următor împreună cu The Linux Foundation și ceilalți parteneri ai proiectului ", a declarat Mirko Boehm, CEO al Endocode al proiectului QMSTR.
Se alătură și alte două proiecte
ACT salută, de asemenea, două noi proiecte care vor fi găzduite de Linux Foundation ca parte a inițiativei, în plus față de cele două proiecte Linux Foundation existente care vor face parte din noul proiect.
Noile proiecte sunt complementare proiectelor de conformitate Linux Foundation existente.
Acesta este cazul OpenChain, care identifică procesele cheie recomandate pentru conformarea licenței open source să fie mai simplu și mai consecvent.
Și Programul de conformitate deschisă, care educă și ajută dezvoltatorii și companiile să înțeleagă cerințele lor de licențiere și cum să construim procese eficiente, fără fricțiuni și adesea automatizate pentru a sprijini conformitatea.