Linux Foundation startade nyligen ACT-projektet (Automated Compliance Tooling), vilken kommer att arbeta med att utveckla verktyg relaterade till att säkerställa överensstämmelse med kraven på öppna licenser
El ACT: s huvudmål är att konsolidera investeringar i dessa verktyg, säkerställa portabilitet mellan dem och öka användbarheten, vilket hjälper organisationer att hantera efterlevnadskrav.
Om ACT
Initiativet involverar verktyg som används för att automatisera områden som underhåll av metadata med information om kodlicenser, analys av projekt för kodlån och användning av öppna licenser, utvärdering av kompatibiliteten för produkter som utvecklats med öppna och gratis licenser.
Verktygen gör det möjligt för företag att förenkla sitt arbete för att mötas med den godkända renheten för de produkter som öppnas.
Förutom att kunna utföra en granskning av nya mjukvaruberoenden eller verifiera koden Utvecklad bakom stängda dörrar för att undvika att lägga till komponenter som distribueras under inkompatibla licenser.
Verktygen kan också ge betydande hjälp vid övervakning av licensöverensstämmelse för stora projekt som använder en kombination av många öppna och egna komponenter.
T.ex. Det är möjligt att bestämma de öppna licenser som är inblandade i koden, identifiera möjliga korsningar och konflikter, bedöma potentiella risker och bygga en karta över den immateriella egendom som används i projektet.
Vilka projekt kommer att ingå i ACT?
ACT-projektet och med bidrag från organisationen Linux Foundation kommer att utveckla följande verktyg:
- FOSSologi är en uppsättning verktyg för automatisk identifiering av fakta om användning av vissa programvarulicenser.
Källkodsanalys, paketmetadatamappning i DEB- och RPM-format, identifiering av upphovsrätt, URL-adresser och e-postadresser stöds. Designad av HP.
- QMSTR (Quartermaster) - En verktygslåda med implementering av beprövade affärsmetoder för hantering av licensöverensstämmelse vid utveckling av programvaruprodukter.
QMSTR är integrerat i utvecklingscykeln för DevOps CI / CD och vid monteringsfasen samlar den mätvärden med information om insamlad kod och beroenden som används. Projektet utvecklades av Endocode.
- SPDX (SPDX) är en uppsättning specifikationer och relaterade verktyg för publicering och utbyte av licens- och immateriell information som används i olika komponenter i programvarupaket.
Det gör det möjligt att ange inte bara den allmänna licensen för hela paketet, men också särdragen i licensen för filer och enskilda fragment, ägare av koden äganderätt och de personer som är inblandade i granskningen av dess licensierade renhet.
Tern är ett verktyg för att inspektera containerbilder, så att du kan bestämma vilka paket som används för att bilda dina fyllningar. Projektet utvecklades av VMware och skickades till Linux Foundation.
”Licensöverensstämmelse är en mycket viktig faktor i öppen källkod.
Med QMSTR började vi bygga en verktygskedja som fokuserar på att hitta data och korrekt, komplett och uppdaterad dokumentation om efterlevnad för varje programvarubyggnad.
Endocode är mycket glada över att bidra med QMSTR till ACT och ta det till nästa nivå tillsammans med The Linux Foundation och de andra projektpartnerna, säger Mirko Boehm, Endocode CEO för QMSTR-projektet.
Två andra projekt går också med
ACT välkomnar också två nya projekt som kommer att vara värd för Linux Foundation som en del av initiativet, förutom de två befintliga Linux Foundation-projekten som kommer att ingå i det nya projektet.
De nya projekten kompletterar befintliga Linux Foundation-projekt.
Sådan är fallet med OpenChain, som identifierar de viktigaste processerna som rekommenderas för att uppfylla öppen källkodslicens vara enklare och mer konsekvent.
Och Open Compliance Program, som utbildar och hjälper utvecklare och företag att förstå deras licenskrav och hur man bygger effektiva, friktionsfria och ofta automatiserade processer för att stödja efterlevnad.