Linux Foundation最近启动了ACT项目 (自动合规工具), 将致力于开发与确保符合公开许可要求有关的工具
El ACT的主要目标是合并对这些工具的投资, 确保它们之间的可移植性并提高可用性,这有助于组织管理合规性义务。
关于ACT
该倡议 涉及用于自动化区域的工具,例如元数据维护 提供有关代码许可证的信息,对代码贷款项目和开放许可证的使用进行分析,评估使用开放许可证和免费许可证开发的产品的兼容性的信息。
这些工具使公司可以简化工作以达到目标 具有已开封产品的授权纯度。
以及能够执行对新软件依赖项的审核或验证代码 在不公开的情况下进行开发,以避免添加在不兼容的许可证下分发的组件。
这些工具还可以在监视大型项目的许可证合规性方面提供重要帮助,这些大型项目使用了许多开放式组件和专有组件。
例如: 可以确定代码中涉及的开放许可,识别可能的交叉点和冲突,评估潜在风险并构建项目中使用的知识产权地图。
哪些项目将成为ACT的一部分?
ACT项目将在Linux Foundation组织的贡献下开发以下工具:
- 自由学 是用于自动检测某些软件许可证的使用情况的工具集。
支持源代码分析,DEB和RPM格式的程序包元数据映射,版权,URL和电子邮件地址的标识。 由HP设计。
- 质量管理体系 (Quartermaster)-一种工具包,其中包含经过验证的业务实践的实施,用于在开发软件产品时管理许可证合规性。
QMSTR已集成到DevOps CI / CD开发周期中,并且在组装阶段它会使用有关收集的代码和所使用的依赖项的信息来累积指标。 该项目由Endocode开发。
- SPDX(SPDX) 是一套规范和相关实用程序,用于发布和交换软件包各个组件中使用的许可和知识产权信息。
它不仅可以指定通用许可证 对于整个包装, 以及文件和单个片段的许可的特殊性,代码产权的所有者 以及审查其许可纯度的人员。
Tern是用于检查容器图像的工具,可让您确定使用哪些包装来填充。 该项目由VMware开发,并提交给Linux Foundation。
“许可证合规性是开源生态系统中非常重要的因素。
借助QMSTR,我们开始构建工具链,重点是为每个软件版本查找数据以及准确,完整和最新的合规性文档。
Endocode非常高兴能够为ACT贡献QMSTR,并与Linux基金会和其他项目合作伙伴一起将其提升到一个新的水平。”
另外两个项目也加入
ACT还欢迎作为该计划一部分由Linux Foundation托管的两个新项目,以及将作为新项目一部分的两个现有Linux Foundation项目。
新项目是对现有Linux Foundation合规性项目的补充。
情况就是如此 OpenChain,它标识了建议遵循开放源代码许可证的关键过程 更简单,更一致。
而且 开放合规计划,该计划教育并帮助开发人员和公司了解其许可要求 以及如何建立高效,无摩擦且通常为自动化的流程来支持合规性。