Linux 基金會最近推出了 ACT 項目 (自動化合規工具),其中 將致力於開發與確保遵守開放許可證要求相關的工具
El ACT 的主要目標是整合對此類工具的投資, 確保它們之間的可移植性並提高可用性,這有助於組織管理合規義務。
關於ACT
倡議 涉及用於自動化元數據維護等領域的工具 提供有關代碼許可證的信息,分析代碼借用和開放許可證使用的項目,評估使用開放和免費許可證開發的產品的兼容性。
這些工具使公司能夠簡化合規工作 具有已打開產品的授權純度。
以及能夠審核新軟件依賴項或驗證代碼 秘密開發,以防止添加根據不兼容許可證分發的組件。
這些工具還可以為監控混合使用許多開放和專有組件的大型項目的許可證合規性提供重要幫助。
例如: 可以確定代碼中涉及的開放許可證,識別可能的交叉點和衝突,評估潛在風險並構建項目中使用的知識產權圖。
哪些項目將成為 ACT 的一部分?
ACT 項目在 Linux 基金會組織的貢獻下將開發以下工具:
- 自由和開放源碼軟件學 是一組用於自動檢測某些軟件許可證的使用事實的工具。
支持源代碼分析、DEB 和 RPM 格式的包元數據映射、版權識別、URL 和電子郵件地址。 由惠普設計。
- 質量管理研究中心 (Quartermaster) - 一個工具包,實施經過企業驗證的實踐,用於在開發軟件產品時管理許可證合規性。
QMSTR 集成到 DevOps CI/CD 開發週期中,並在組裝階段累積指標以及有關所收集的代碼和所使用的依賴項的信息。 該項目由 Endocode 開發。
- SPDX (SPDX) 是一組規範和相關實用程序,用於發布和交換軟件包各個組件中使用的許可證和知識產權信息。
不僅允許您指定通用許可證 對於整個包, 還有單個文件和片段的許可詳情、代碼產權的所有者 以及參與許可純度審查的人員。
Tern 是一個用於檢查容器映像的工具,可讓您確定使用哪些包來形成填充。 該項目由VMware開發並提交給Linux基金會。
“許可證合規性是開源生態系統中非常重要的因素。
通過 QMSTR,我們開始構建一個工具鏈,專注於數據發現以及每個軟件構建的準確、完整和最新的合規性文檔。
Endocode 非常高興將 QMSTR 貢獻給 ACT,並與 Linux 基金會和其他項目合作夥伴一起將其提升到一個新的水平。”QMSTR 項目的 Endocode 首席執行官 Mirko Boehm 說道。
另外兩個項目也加入其中
除了將成為新項目一部分的兩個現有 Linux 基金會項目之外,ACT 還歡迎 Linux 基金會主持的兩個新項目作為該計劃的一部分。
新項目是對現有 Linux 基金會合規項目的補充。
情況就是如此 OpenChain,它確定了為實現開源許可證合規性而建議的關鍵流程 變得更簡單、更連貫。
而且 開放合規計劃,教育並幫助開發人員和公司了解他們的許可證要求 以及如何構建高效、無摩擦且通常自動化的流程來支持合規性。