GitHub (США) запускает функцию проверки лицензионной совместимости, автоматизируя проверку тысяч зависимостей
2026-07-01 10:29
В избр.

Репортаж от Wedoany,Офис программ с открытым исходным кодом (OSPO) GitHub с помощью новой функции проверки лицензионной совместимости включил тысячи внутренних зависимостей в автоматизированный процесс проверки. Эта функция позволяет разработчикам непосредственно на этапе pull request проверять, соответствует ли лицензия новой зависимости корпоративной политике, тем самым освобождая проверку соответствия от ручного труда или сторонних инструментов.

Экран корпоративной лицензионной политики, отображающий постраничный список лицензий SPDX с возможностью добавления дополнительных лицензий через ручной ввод или диалоговое окно выбора.

С постоянным добавлением новых зависимостей на платформе GitHub и во внутренних проектах управление лицензиями становится ключевым звеном в обеспечении безопасности цепочки поставок программного обеспечения. Почти каждое программное обеспечение сопровождается лицензионным соглашением, обязательства по которому варьируются от простых требований об указании авторства до обязательного раскрытия всего исходного кода. Для компаний, продающих закрытые бинарные приложения, необходимо избегать зависимостей, требующих раскрытия проприетарного кода; для проектов, планирующих выпуск открытого ПО, следует избегать зависимостей, подпадающих под коммерческие или несовместимые лицензии. Несоблюдение требований может привести к судебным разбирательствам и репутационным потерям.

Традиционная проверка лицензий часто полагалась на ручной труд или стороннее ПО. Функция проверки лицензионной совместимости, запущенная GitHub для клиентов Advanced Security, изменила этот процесс. Функция активируется через наборы правил и может автоматически сканировать лицензии новых зависимостей в pull request, изменяющих зависимости, для конкретного репозитория. Если лицензия находится в разрешённом списке или для пакета существует исключение, проверка проходит успешно; в противном случае инструмент генерирует предупреждение в pull request. Команда проверки может на этом основании решить, разрешить ли данную лицензию или пакет, и может установить область действия исключения — на уровне предприятия или репозитория.

Страница предупреждения о лицензии, отображающая имя пакета и идентификатор несоответствующей лицензии, а также временную шкалу, показывающую общение между разработчиком и утверждающим.

Два месяца назад OSPO GitHub перешёл на эту новую функцию с внутреннего инструмента управления соответствием. Будучи ранним пользователем, команда предоставляла отзывы на этапе публичной предварительной версии функции. На начальном этапе OSPO установил политику на основе внутреннего накопленного списка приемлемых лицензий и использовал режим «оценки», который публикует предупреждения, но не блокирует слияние, чтобы разработчики могли адаптироваться к новому процессу. Примерно через четыре недели работы предупреждения в основном касались пакетов с аномальными, отсутствующими или явно запрещёнными лицензиями. Команда по лицензионной политике, состоящая из членов OSPO и экспертов по анализу цепочек поставок, распределена по четырём часовым поясам для обеспечения своевременной обработки запросов на проверку. Команда обычно обрабатывает каждый запрос в течение от одного до нескольких часов и разработала экстренную процедуру «разбития окна» — если критическое исправление заблокировано предупреждением, можно временно отключить проверку лицензий для этого репозитория, изменив значение пользовательского атрибута. На практике эта экстренная процедура использовалась только один раз.

Уведомление по электронной почте, отправленное команде по проверке лицензий, содержащее имя пользователя, инициировавшего предупреждение, репозиторий, в котором было сгенерировано предупреждение, и комментарий разработчика с просьбой разрешить пакет (поскольку это частный внутренний пакет).

Функция поддерживает сопоставление с подстановочными знаками для исключений пакетов, например, разрешение всего пространства имён @github-ui/*, что позволяет избежать утверждения каждого пакета по отдельности. Внутренняя документация и обучение помогают разработчикам понять важность соблюдения требований, распределяя ответственность за управление соответствием на повседневную работу команд. Функция проверки лицензионной совместимости теперь находится в публичной предварительной версии. Клиенты GitHub Enterprise Cloud могут использовать её в репозиториях с активной лицензией GHAS Code Security. Соответствующую информацию можно найти в официальной документации GitHub.

Эта новость является результатом компиляции и перепечатки информации из глобального Интернета и стратегических партнеров. Она предназначена только для читателей. Если у вас возникнут какие-либо нарушения или другие проблемы, пожалуйста, своевременно сообщите нам. Этот сайт изменить или удалить ее. Перепечатка этой статьи без официального разрешения строго запрещена.электронная почта:news@wedoany.com
Связанные продукты
Связанные рекомендации
Bouygues Telecom завершила модернизацию оптоволоконной сети по всей Франции до 8 Гбит/с
2026-07-02
Чад сотрудничает с американской Cybastion для запуска национального центра обработки данных
2026-07-02
Индийская Bharti Airtel планирует открыть вторую штаб-квартиру в Хайдарабаде
2026-07-02
Британская компания nLighten инвестирует более 100 миллионов фунтов стерлингов в модернизацию дата-центра в Бристоле
2026-07-02
Компания Cadence (США) расширяет сотрудничество с HPE, сосредоточившись на цифровых двойниках центров обработки данных
2026-07-02
Samsung Electronics публикует дорожную карту 2-нм техпроцесса и совместно с правительством Кореи разрабатывает чипы ИИ для периферийных устройств
2026-07-02
VK запускает нейропоиск Discovery AI в России
2026-07-02
В Китае создан фонд акционерного капитала в сфере ИИ при CETC (Сучжоу) с уставным капиталом 2 млрд юаней
2026-07-02
Ilkari приобретает хорватского оператора DC North, расширяя свою европейскую сеть центров обработки данных
2026-07-02
Рынок инвестиций в центры обработки данных в Африке, по прогнозам, достигнет 8,76 млрд долларов США к 2031 году
2026-07-02
Последние новости
1
BYD продвигает планы по строительству заводов в Европе, Испания и Франция стали кандидатами
2
Liebherr получил заказ на 7 кранов для терминала Sparrows Point в Балтиморе, США
3
Британская компания RGM Cranes установила 10-тонный кран для производителя из Южного Йоркшира
4
Bouygues Telecom завершила модернизацию оптоволоконной сети по всей Франции до 8 Гбит/с
5
Чад сотрудничает с американской Cybastion для запуска национального центра обработки данных
6
Индийская Bharti Airtel планирует открыть вторую штаб-квартиру в Хайдарабаде
7
Заместитель председателя Китайской федерации машиностроения выступил на 12-м Международном симпозиуме по резанию и измерительной технике
8
Управление портов Тасмании (Австралия) завершило дноуглубительные работы объемом более 250 000 кубометров на две недели раньше срока
9
Британская компания nLighten инвестирует более 100 миллионов фунтов стерлингов в модернизацию дата-центра в Бристоле
10
Компания Cadence (США) расширяет сотрудничество с HPE, сосредоточившись на цифровых двойниках центров обработки данных