Aplicações

Ferramenta do GitHub reduz violações de licença

A Licensed encontra dependências de licença no início do ciclo de vida de desenvolvimento de software open source

21 de Março de 2018 - 17h30

O GitHub abriu a sua ferramenta Licensed, que cobre e verifica o status de dependências de licenças no repositório on-line. A Licensed ajuda os engenheiros do GitHub que usam software open-source a encontrarem potenciais problemas com dependências de licenças logo no início do ciclo de desenvolvimento.

A ferramenta relata sobre qualquer dependência que precise de revisão. Mas o que é uma dependência? O GitHub define uma dependência como um pacote de software externo usado em um aplicativo e uma fonte de dependência como uma classe que pode enumerar as dependências de aplicativos.

O que a ferramenta Licensed faz

A ferramenta do GitHub funciona da seguinte forma: Ela cobre e verifica os metadados de licenças, em busca de dependências. Essas dependências são detectadas por vários tipos de linguagens e gerenciadores de pacotes entre os projetos em um repositório.

Um arquivo de configuração determina onde e como enumerar as dependências, que são enumeradas por cada caminho de origem na configuração.

Quando uma dependência é encontrada, a ferramenta busca o ponto de origem em um ambiente local e extrai os metadados relevantes. Ela usa o Licensee Ruby Gem para determinar a licença de cada dependência e encontrar o texto da licença.

Ao armazenar os dados de dependência em um repositório central, os dados podem ser verificados como uma função do fluxo de trabalho de desenvolvimento. Atualizações para as licenças podem ser exigidas sempre que as dependências mudarem, mantendo assim os dados de licenças atualizados. O repositório fonte central também fornece um histórico das mudanças das dependências.

O GitHub planeja refinamentos futuros para a Licensed, para que ela opere de maneira mais suave nos fluxos de trabalho dos desenvolvedores e ao adicionar novas fontes de dependência. Também serão adicionadas novas fontes de dependências.

O GitHub destaca ainda que a sua ferramenta pode descobrir e documentar problemas óbvios com licenças, mas não é uma substituta para a análise e a revisão humana das dependências, nem uma solução completa de licenças open-source.

Onde baixar
Você pode baixar a Licensed e encontrar as instruções de instalação no repositório do projeto no GitHub.