通过单击一个按钮获得您的许可证遵从性报告
在发布软件时,您需要的一个关键方面是确保您是兼容的,并且不受任何法律风险的影响。我们的以前关于DevOps和遵从性的博客文章描述了法规遵循如何成为无缝的组成部分DevOps工作流在你的组织中。这篇博文将讨论贵公司目前执行OSS政策的方式以及如何执行JFrog x光可以简化这个过程。
许可遵从是一个过程,以及它为什么重要
您知道您的OSS政策是否在您的公司中实际执行了吗?
使用未识别的开放源码组件会使您的组织容易遭受许可证违反,这实际上会导致昂贵的诉讼和知识产权损失。
下面是解决许可证遵从性的3个用例:
- 尽职调查(例如出售你的公司,筹集资金,IPO),这需要评估公司的价值,列出所有的产品和知识产权。hth华体会最新官方网站作为此过程的一部分,您需要拥有所使用的许可证的完整列表。
- 新产品/服务在美国,法律团队需要获得正在使用的许可证的完整列表。
- 正在进行产品发布在这种情况下,对于每个软件发布,组织中的几个团队负责识别软件所包含的OSS组件的第三方许可。更具体地说,在这个过程中,研发和产品团队必须手动跟踪并创建代码中所有新和旧开源组件的聚合列表,然后由法律团队进行审查,以:
- 确保它遵循内部政策
- 向公众开放
这些过程不仅耗时,而且容易出现人为错误。
执行许可证遵从性以及Xray如何让您做到这一点
Xray提供了两个功能来帮助自动化这些过程。第一个是政策这使得您可以在添加/修改的工件/构建中的每个组件上执行您的许可遵从规则。
第二个是x射线的新技术组件许可证报告,它简化了此过程,免去了挖掘每个组件并识别其许可进行评估的所有手工工作。您现在可以为每个构建或工件生成许可证报告,列出直接或间接被它使用的所有OSS许可证,只需单击一个按钮。
该报告基于在Xray中生成的元数据,该元数据递归地分析二进制文件中组件使用的OSS许可证,并为您提供组件安全和许可证元数据。
一旦您有了报告,您就可以评估作为发布的一部分的OSS组件的许可遵从性,最重要的是相信它们都在那里。
将x射线纳入许可证遵从流程的4个主要步骤
- 找到x射线中的相关构建/工件,从组件搜索。
- 发现组件许可证的列表,来自许可证选项卡。
- 分配对license未知的组件使用license。
- 出口报告并与相关利益相关者分享。
