Recursos/White Papers

Notícias

GitHube lança ferramenta para evitar violações de licenças open source

A Licensed é capaz de detectar dependências de licença logo no início do ciclo de vida do desenvolvimento do software

Da Redação, com IDG News Service

Publicada em 22 de março de 2018 às 06h32

A GitHub passou a disponibilizar a ferramenta Licensed, uma “Ruby Gem” que armazena em cache e verifica a situação de software nos repositórios da plataforma, quanto a dependências de licenças. A Licensed tem ajudado os engenheiros da GitHub, que utilizam software open source, a descobrir potenciais problemas de código com dependências de licença no início do ciclo de desenvolvimento.

A ferramenta informa sobre as dependências que precisam ser revistas. A GitHub define uma dependência como um pacote de software externo usado numa aplicação e uma fonte de dependência como uma classe que pode enumerar dependências de aplicações.

O instrumento armazena em cache e verifica os metadados da licença, procurando por dependências. Estas são detectadas para vários tipos de linguagens e gestores de pacotes em todos os projetos localizados em num repositório.

Uma pasta de configuração determina onde e como enumerar dependências, enumeradas para cada caminho de origem na configuração. Quando uma dependência é descoberta, a ferramenta identifica a localização de origem em um ambiente local e extrai os metadados relevantes.

A solução usa, ainda, Licensee Ruby Gem para determinar o licenciamento referente a cada dependência e encontrar o texto da licença. Ao armazenar dados de dependência em um repositório de controle de origem, os dados podem ser verificados como uma função do fluxo de trabalho de desenvolvimento.

As atualizações para licenças podem ser necessárias sempre que as dependências mudam, mantendo os dados da licença atualizados. O repositório de controlo de origem também fornece um histórico de mudanças das dependência.

opensource

A GitHub planeja fazer melhorias na ferramenta, de modo a tornar a gestão de fluxos de trabalho desenvolvimento mais fácil, mesmo ao adicionar novas fontes de dependências. 

A organização observa também que a ferramenta Licensed pode descobrir e documentar problemas de licença óbvios mais cedo. Mas que não substitui a revisão humana, nem é uma solução completa para licenças de código aberto.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui