La Linux Foundation ha presentado recientemente el proyecto ACT (Automated Compliance Tooling), el cual trabajará en el desarrollo de herramientas relacionadas con garantizar el cumplimiento de los requisitos de las licencias abiertas

El objetivo principal de ACT es consolidar las inversiones en dichas herramientas, garantizar la portabilidad entre ellas y aumentar la usabilidad, que ayudan a las organizaciones a gestionar las obligaciones de cumplimiento.

Sobre ACT

La iniciativa involucra herramientas utilizadas para automatizar áreas como el mantenimiento de metadatos con información sobre licencias de código, el análisis de proyectos para el préstamo de códigos y el uso de licencias abiertas, la evaluación de la compatibilidad de productos desarrollados con licencias abiertas y gratuitas.

Las herramientas permiten a las empresas simplificar su trabajo para cumplir con la pureza autorizada de los productos que se abren.

Así como poder realizar una auditoría de las nuevas dependencias de software o verificar el código desarrollado detrás de puertas cerradas para evitar la adición de componentes distribuidos bajo licencias incompatibles.

Las herramientas también pueden proporcionar una asistencia significativa para supervisar el cumplimiento de licencias en grandes proyectos que utilizan una combinación de muchos componentes abiertos y propietarios.

Por ejemplo, es posible determinar las licencias abiertas involucradas en el código, identificar posibles intersecciones y conflictos, evaluar riesgos potenciales y construir un mapa de la propiedad intelectual utilizada en el proyecto.

¿Qué proyectos formaran parte de ACT?

El proyecto ACT y bajo las contribuciones de la organización Linux Foundation desarrollará las siguientes herramientas:

  • FOSSology es un conjunto de herramientas para la detección automatizada de hechos de uso de ciertas licencias en software.

Se admite el análisis del código fuente, la asignación de metadatos de paquetes en los formatos DEB y RPM, la identificación de derechos de autor, URL y direcciones de correo electrónico. Diseñado por HP.

  • QMSTR (Quartermaster): un kit de herramientas con la implementación de prácticas comprobadas en empresas para administrar el cumplimiento de licencias al desarrollar productos de software.

QMSTR se integra en el ciclo de desarrollo de DevOps CI / CD y en la etapa de ensamblaje acumula métricas con información sobre el código recopilado y las dependencias utilizadas. El proyecto fue desarrollado por Endocode.

  • SPDX (SPDX) es un conjunto de especificaciones y utilidades relacionadas para publicar e intercambiar información sobre licencias y propiedad intelectual utilizada en diversos componentes de paquetes de software.

Permite especificar no solo la licencia general para todo el paquete, sino también las particularidades de la licencia de archivos y fragmentos individuales, los propietarios de los derechos de propiedad del código y las personas involucradas en la revisión de su pureza con licencia.

Tern es una herramienta para inspeccionar imágenes de contenedores, que le permite determinar qué paquetes se utilizan para formar sus rellenos. El proyecto fue desarrollado por VMware y enviado a la Fundación Linux.

“El cumplimiento de la licencia es un factor muy importante en el ecosistema de código abierto.

Con QMSTR, comenzamos a crear una cadena de herramientas que se centra en la búsqueda de datos y en una documentación de cumplimiento precisa, completa y actualizada para cada compilación de software.

Endocode está muy contento de contribuir con QMSTR a ACT y llevarlo al siguiente nivel junto con The Linux Foundation y los otros socios del proyecto “, dijo Mirko Boehm, CEO de Endocode del proyecto QMSTR.

Otros dos proyectos también se unen

ACT también da la bienvenida a dos nuevos proyectos que se hospedarán en la Linux Foundation como parte de la iniciativa, además de los dos proyectos existentes de la Linux Foundation que formarán parte del nuevo proyecto.

Los nuevos proyectos son complementarios a los proyectos de cumplimiento existentes de Linux Foundation.

Tal es el caso de OpenChain , que identifica los procesos clave recomendados para hacer que el cumplimiento de la licencia de código abierto sea más simple y coherente.

Y el Open Compliance Program , que educa y ayuda a los desarrolladores y compañías a entender sus requisitos de licencia y cómo para construir procesos eficientes, sin fricción y, a menudo, automatizados para respaldar el cumplimiento.

El artículo Linux Foundation presenta ACT para verificar el cumplimiento de licencias de código abierto ha sido originalmente publicado en Linux Adictos.