Фонд Linux нещодавно запустив проект ACT (Автоматизований інструмент дотримання вимог), який працюватиме над розробкою інструментів, пов’язаних із забезпеченням відповідності вимогам відкритих ліцензій
El Основною метою ACT є консолідація інвестицій у ці інструменти, забезпечити переносимість між ними та збільшити зручність використання, що допомагає організаціям керувати зобов’язаннями щодо дотримання вимог.
Про ACT
Ініціатива включає інструменти, що використовуються для автоматизації таких областей, як ведення метаданих з інформацією про ліцензії коду, аналіз проектів запозичення коду та використання відкритих ліцензій, оцінка сумісності продуктів, розроблених з безкоштовними та відкритими ліцензіями.
Ці інструменти дозволяють компаніям спростити свою роботу для задоволення з дозволеною чистотою продуктів, що відкриваються.
А також можливість провести аудит нових програмних залежностей або перевірити код Розроблений за зачиненими дверима, щоб уникнути додавання компонентів, розподілених за несумісними ліцензіями.
Інструменти також можуть надати значну допомогу в моніторингу дотримання ліцензій для великих проектів, що використовують комбінацію багатьох відкритих та власних компонентів.
Наприклад, Можна визначити відкриті ліцензії, що беруть участь у коді, визначити можливі перехрестя та конфлікти, оцінити потенційні ризики та скласти карту інтелектуальної власності, що використовується в проекті.
Які проекти будуть частиною ACT?
Проект ACT та за сприяння організації Linux Foundation розробить такі інструменти:
- ФОСОлогія - це набір інструментів для автоматизованого виявлення фактів використання певних ліцензій на програмне забезпечення.
Підтримується аналіз вихідного коду, відображення метаданих пакетів у форматах DEB та RPM, ідентифікація авторських прав, URL-адрес та адрес електронної пошти. Розроблено компанією HP.
- QMSTR (Квартирмейстер) - Набір інструментів із впровадженням перевіреної ділової практики для управління дотриманням ліцензій при розробці програмних продуктів.
QMSTR інтегрований у цикл розробки DevOps CI / CD і на етапі складання накопичує метрики з інформацією про зібраний код та використані залежності. Проект розроблений Endocode.
- SPDX (SPDX) - це набір специфікацій та пов’язаних утиліт для публікації та обміну ліцензіями та інформацією про інтелектуальну власність, що використовується в різних компонентах програмних пакетів.
Це дозволяє вказати не тільки загальну ліцензію для всього пакету, а також особливості ліцензії файлів та окремих фрагментів, власників кодових прав власності та осіб, які беруть участь у перегляді дозволеної чистоти.
Tern - це інструмент для перевірки зображень контейнерів, що дозволяє визначити, які пакети використовуються для формування заповнення. Проект був розроблений VMware та переданий до Фонду Linux.
«Відповідність ліцензії є дуже важливим фактором в екосистемі з відкритим кодом.
За допомогою QMSTR ми почали створювати ланцюжок інструментів, який зосереджений на пошуку даних, а також точної, повної та сучасної документації щодо відповідності для кожної збірки програмного забезпечення.
Endocode дуже радий внести внесок QMSTR в ACT та вивести його на наступний рівень разом з The Linux Foundation та іншими партнерами по проекту ", - сказав Мірко Боем, генеральний директор Endocode проекту QMSTR.
Ще два проекти також приєднуються
ACT також вітає два нові проекти, які будуть проведені Linux Foundation як частина ініціативи, на додаток до двох існуючих проектів Linux Foundation, які будуть частиною нового проекту.
Нові проекти доповнюють існуючі проекти, що відповідають вимогам Linux Foundation.
Такий є випадок OpenChain, який визначає рекомендовані ключові процеси для забезпечення відповідності ліцензії з відкритим кодом бути простішими та послідовними.
І то Програма відкритого дотримання, яка навчає та допомагає розробникам та компаніям зрозуміти їхні ліцензійні вимоги і як будувати ефективні, без тертя та часто автоматизовані процеси для забезпечення відповідності.