Login
Newsletter
Werbung

Di, 11. Dezember 2018, 08:09

Gemeinschaft::Organisationen

Linux Foundation startet Automated Compliance Tooling

Vier umfangreiche Projekte, die sich mit dem Untersuchen und Dokumentieren von Open-Source-Lizenzen in Softwareprojekten befassen, bilden ein neues Zusammenarbeitsprojekt der Linux Foundation.

Linux Foundation

Die Linux Foundation, das Branchenkonsortium zur Förderung von Linux und gemeinschaftlicher Entwicklung, hat das Automated Compliance Tooling (ACT)-Projekt gegründet. ACT befasst sich mit einem weniger populären Aspekt von Open Source, der Beachtung der jeweiligen Lizenzen des Codes. Open Source zu verwenden, ist einfach, da der Code frei zur Verfügung steht. Unternehmen, die den Code in ihre Produkte einbauen und nicht riskieren wollen, mit dem Gesetz in Konflikt zu kommen, müssen jedoch die Lizenzen aller verwendeten Komponenten kennen und sich an ihre Bedingungen halten. Werden viele Komponenten eingesetzt, so ist eine manuelle Verwaltung dieses Wissens nicht mehr sinnvoll. Es gibt aber bereits einige Open-Source-Werkzeuge, die diese Aufgabe in verschiedener Weise übernehmen können.

Automated Compliance Tooling (ACT) vereint anfänglich vier freie Projekte unter einem gemeinsamen Dach: Fossology, QMSTR, SPDX Tools und Tern. Fossology ist ein System für die Untersuchung und Dokumentation der Konformität mit Open-Source-Lizenzen und ein Toolkit. Quellcode kann mit verschiedenen Kommandozeilenprogrammen untersucht werden, um Lizenz, Copyright-Halter und Exportbeschränkungen zu extrahieren und in einer Datenbank zu speichern. Eine grafische Oberfläche ermöglicht Arbeitsabläufe zur Sicherstellung der Konformität. FOSSology ist bereits ein Projekt der Linux Foundation und zieht nun zum ACT-Projekt um.

QMSTR (Quartermaster) kommt von der Firma Endocode. Es ermöglicht die Integration von Werkzeugen zur Verwaltung der Lizenzkonformität in den Generierprozess der Software. Entwickler können QMSTR auch lokal einsetzen, um die Ergebnisse zu prüfen, Probleme zu lösen und Konformitätsberichte zu erzeugen. QMSTR kann auch im Rahmen der kontinuierlichen Integration Qualitätsmetriken für die Softwareentwicklung liefern.

Auch die SPDX Tools sind bereits ein Projekt der Linux Foundation. Software Package Data Exchange (SPDX) ist ein offener Standard, der in maschinenlesbarer Form Auskunft über Komponenten, Lizenzen, Copyrights und Sicherheitsreferenzen gibt. Die primäre SPDX-Spezifikation bleibt separat von ACT, die SPDX Tools hingegen kommen zu ACT.

Tern ist ein Werkzeug, das die Metadaten der Pakete findet, die in Containern installiert sind. Durch den Einblick in die Komponenten der Container wird es möglich, bessere Entscheidungen bezüglich der Container-basierten Infrastruktur, Integrations- und Einsatzstrategien zu treffen. Tern wurde von VMware entwickelt.

Die neuen Projekte ermöglichen laut Linux Foundation eine praktische Anwendung bestehender Projekte wie OpenChain und dem Open Compliance Program. OpenChain, ist eine Empfehlung von Abläufen, die das Erreichen von Konformität mit freien Lizenzen einfacher und konsistenter machen sollen. Das Open Compliance Program hilft Entwicklern und Unternehmen, ihre Lizenzanforderungen zu verstehen, und effiziente, reibungslose und weitgehend automatisierte Abläufe zu erstellen, um Konformität mit den Lizenzen zu erreichen.

Werbung
Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung