Организация Linux Foundation представила (https://www.linuxfoundation.org/press-release/2018/12/the-li.../) новый проект ACT (Automated Compliance Tooling), в рамках которого будет вестись работа по развитию инструментов, связанных с обеспечением соблюдения требований открытых лицензий. Основной целью ACT является консолидация инвестиций в подобные инструменты, обеспечение переносимости между ними и повышение удобства работы.
Инициатива затрагивает инструменты, применяемые для автоматизации таких областей, как поддержание метаданных с информацией о лицензиях на код, анализ проектов на предмет заимствования кода и использования открытых лицензий, оценка совместимости разрабатываемых продуктов с открытыми и свободными лицензиями. Инструменты позволяют компаниям упростить работу по соблюдению лицензионной чистоты открываемых продуктов, проведния аудита новых программных зависимостей или выполнению проверки разрабатываемого за закрытыми дверями кода для исключения добавления компонентов, распространяемых под несовместимыми лицензиями.
Инструменты также могут оказать значительную помощь в контроле за соблюдением лицензий в крупных проектах, в которых используется смесь из множества как открытых, так и проприетарных компонентов. Например, предоставляется возможность определить задействованные в коде открытые лицензии, обозначить возможные пересечения и конфликты, оценить потенциальные риски и построить карту используемой в проекте интеллектуальной собственности.
В рамках проекта ACT и под эгидой организации Linux Foundation будут развиваться следующие инструменты:
- FOSSology (https://www.fossology.org/) - инструментарий для автоматизированного выявления фактов использования в программном обеспечении тех или иных лицензий. Поддерживается анализ исходных текстов, выделение мета-данных из пакетов в форматах DEB и RPM, выявление упоминания авторских прав, URL и email-адресов. Проект разработан компанией HP;
- QMSTR (https://qmstr.org/) (Quartermaster) - инструментарий с реализацией зарекомендовавших на предприятиях практик по управлению соблюдением лицензий при разработке программных продуктов. QMSTR интегрируется в цикл разработки DevOps CI/CD и на этапе сборки накапливает метрики с информацией о собираемом коде и используемых зависимостях. Проект разработан компанией Endocode;
- SPDX (https://spdx.org/tools) (SPDX) - набор спецификаций и связанных с ними утилит для публикации и обмена информацией о лицензиях и интеллектуальной собственности, используемых в различных компонентах программных пакетов. Спецификация позволяет указать не только общую лицензию на весь пакет, но и определить особенности лицензирования отдельных файлов и фрагментов, указать владельцев имущественных прав на код и людей занимавшихся рецензированием его лицензионной чистоты;
- Tern (https://github.com/vmware/tern) - инструмент для инспектирования образов контейнеров, позволяющий определить какие пакеты использованы при формировании их начинки. Проект разработан компанией VMware и передан в Linux Foundation.
URL: https://www.linuxfoundation.org/press-release/2018/12/the-li.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=49730