Linux Foundation объединяет усилия по соблюдению FOSS в рамках проекта ACT

Задача обеспечения соответствия с открытым исходным кодом начинается с выяснения того, какие инструменты соответствия использовать.
Новая группа ACT Linux Foundation стремится преодолеть путаницу с универсальным магазином для проектов соответствия FOSS.

По мере того, как выпуски программного обеспечения с открытым исходным кодом и принятие клиентов продолжают расти, многие компании недооценивают то, что связано с переходом на открытый код.
Речь идет не только о добровольном участии в поощряемых, но и необязательных дополнительных вкладах в проекты FOSS (свободное и открытое программное обеспечение), а также о соблюдении юридических требований лицензий с открытым исходным кодом.
Программное обеспечение все чаще включает в себя разнообразный ассортимент открытого исходного кода с различными лицензиями, а также смесь закрытого кода.
Разбираться со всем этим может быть серьезной проблемой, но альтернативой является потенциальный судебный иск и испорченные отношения с сообществом открытого кода.

Linux Foundation только что запустил проект Automated Compliance Tooling (ACT), чтобы помочь компаниям соблюдать требования лицензирования с открытым исходным кодом.
Новая группа консолидирует свои существующие проекты FOSSology и Software Package Data Exchange (SPDX) и добавляет два новых проекта: QMSTR Endocode для интеграции набора инструментов для обеспечения соответствия требованиям с открытым исходным кодом в системы сборки и VMware Tern, инструмент проверки для идентификации компонентов с открытым исходным кодом в контейнерах.


Содержание документа SPDX 2.1 и схема соответствия

(нажмите на картинку, чтобы увеличить)

Объявленная на этой неделе Открытая встреча на высшем уровне в Йокогаме, Япония, зонтичная организация ACT нацелена на «консолидацию инвестиций и повышение функциональной совместимости и удобства использования инструментов с открытым исходным кодом», - говорится в проекте.

«Существует множество проектов по разработке инструментов для обеспечения соответствия нормам с открытым исходным кодом, но большинство из них не финансируются и имеют ограниченные возможности для создания надежных юзабилити или расширенных функций», - заявила Кейт Стюарт, старший директор по стратегическим программам в Linux Foundation.
«Мы также слышали от многих организаций, что существующие инструменты не соответствуют их текущим потребностям.
Создание нейтрального органа в рамках Linux Foundation для работы над этими вопросами позволит нам увеличить финансирование и поддержку сообщества разработчиков инструментов соответствия ».

Четыре проекта ACT со ссылками на их сайты включают в себя:

  • FOSSology - этот ранний проект по улучшению соответствия с открытым исходным кодом был принят Linux Foundation в 2015 году. Проект FOSSology поддерживает и обновляет систему программного обеспечения и инструментарий для обеспечения соответствия стандартам с открытым исходным кодом FOSSology.
    Программное обеспечение позволяет пользователям быстро запускать сканирование лицензий и авторских прав из командной строки и генерировать файл SPDX - формат, используемый для обмена данными о лицензиях и авторских правах на программное обеспечение.
    FOSSology включает в себя базу данных и веб-интерфейс для упрощения рабочего процесса соответствия, а также инструменты сканирования лицензий, авторских прав и экспорта.
    В число пользователей входят Arm, HP, HP Enterprise, Siemens, Toshiba, Wind River и другие.
  • SPDX - Проект обмена данными программного пакета поддерживает формат файла SPDX для передачи информации о спецификации программного обеспечения (BoM), включая компоненты, лицензии, авторские права и ссылки на безопасность.
    Проект SPDX был выделен из FOSSology в качестве проекта Linux Foundation в 2011 году и теперь воссоединяется в рамках ACT.
    В 2015 году в SPDX 2.0 было улучшено отслеживание сложных лицензионных зависимостей с открытым исходным кодом.
    В 2016 году SPDX 2.1 стандартизировал включение дополнительных данных в сгенерированные файлы и добавил синтаксис для точного тегирования исходных файлов с помощью идентификаторов списка лицензий (см. Схему выше).
    Последний выпуск 2.1.15 предлагает поддержку исключенных исключений из лицензии.
    Спецификация SPDX «останется отделенной от ACT, но дополняющей ее, в то время как инструменты SPDX, соответствующие этой спецификации и помогающие пользователям и производителям документов SPDX, станут частью ACT», - говорится в проекте.
  • QMSTR - также известный как Quartermaster, QMSTR был разработан Endocode и теперь размещается в ACT.
    QMSTR создает набор инструментов с открытым исходным кодом, который интегрируется в системы сборки для реализации передовых методов управления соблюдением лицензий.
    QMSTR определяет программные продукты, источники и зависимости и может использоваться для проверки результатов, анализа проблем и составления отчетов о соответствии.
    «Благодаря интеграции в циклы DevOps CI / CD соответствие лицензий может стать метрикой качества для разработки программного обеспечения», - говорит ACT
  • Крачка - Этот хост-проект VMware для обеспечения соответствия в контейнерных технологиях теперь является частью семейства ACT.
    Tern - это инструмент для проверки метаданных пакетов, установленных в образах контейнеров.
    Терн «обеспечивает более глубокое понимание перечня материалов контейнера, чтобы можно было принимать более правильные решения в отношении инфраструктуры на основе контейнеров, стратегий интеграции и развертывания», - говорит ACT.


Проект ACT согласуется с двумя смежными проектами Linux Foundation: OpenChain , который только что принял Google, Facebook и Uber в качестве платиновых участников, и Программой Open Compliance .
В 2016 году проект OpenChain выпустил OpenChain 1.0 с акцентом на отслеживание соответствия с открытым исходным кодом по цепочкам поставок.
Проект также предлагает другие услуги, в том числе OpenChain Curriculum для обучения передовым методам.

Open Compliance Compliance организует саммит Open Compliance.
Он также предлагает информацию о передовом опыте, юридическое руководство и учебные курсы для разработчиков.
Группа помогает компаниям понять свои лицензионные требования и «как создавать эффективные, автоматизированные и часто автоматизированные процессы для обеспечения соответствия», - говорится в проекте.

ACT еще не запустил отдельный веб-сайт, но перечислил адрес электронной почты act@linuxfoundation.org для получения дополнительной информации.

Эта статья защищена авторским правом © 2018 Linux.com и была первоначально опубликована здесь .
Он был воспроизведен этим сайтом с разрешения его владельца.
Пожалуйста, посетите Linux.com для получения последних новостей и статей о Linux и open source.