Nieuw Linux Foundation-project verbetert open source compliance

De Linux Foundation is het Automated Compliance Tooling (ACT)-project opgestart om compliance in opensourceprojecten te verbeteren. Het project moet investeringen consolideren, interoperabiliteit vergroten en organisaties helpen bij het beheer van compliance.

In het tijdperk waar het gebruik van opensourcecode aan populariteit wint, moeten gebruikers eraan herinnerd worden dat er licenties en codes zijn waar iedereen zich aan dient te houden. Iets wat volgens de stichting voor sommigen moeilijk of ingewikkeld kan zijn om mee om te gaan.

“Er zijn tal van open source compliance tooling-projecten, maar de meeste zijn niet gefinancierd en hebben beperkte mogelijkheden om robuuste bruikbaarheid of geavanceerde functies uit te bouwen. We hebben van veel organisaties gehoord dat de tools die er zijn niet aan hun huidige behoeften voldoen. Het vormen van een neutrale instantie onder The Linux Foundation om aan deze kwesties te werken, stelt ons in staat de financiering en ondersteuning voor de community voor ontwikkeling van compliance-tools te vergroten”, aldus Kate Stewart, senior director strategische programma’s bij The Linux Foundation.

Vier onderdelen

Het ACT-project is onderverdeeld in een viertal onderdelen: FOSSology, Quartermaster, SPDX Tools en Tern. Het open source softwarelicentiesysteem voor licenties, FOSSology, wat meteen ook een toolkit betreft, stelt gebruikers in staat om scans van licenties, copyright en exportcontroles uit te voeren vanaf de opdrachtregel.

Quartermaster is dan weer een hulpmiddel voor het implementeren van best practices voor beheer van licentie-compliance en SPDX Tools maakt gebruik van de open standaard Software Package Data Exchange voor het communiceren van informatie zoals componenten, licenties, auteursrechten en beveiligingsreferenties. Het vierde onderdeel, Tern, is een inspectietool voor het vinden van metagegevens van pakketten die zijn geïnstalleerd in een containerimage.

In navolging van ACT kondigde de Linux Foundation ook nog twee nieuwe projecten aan. Zo identificeert het OpenChain Project de  belangrijkste aanbevolen processen voor opensourcebeheer en leidt het Open Compliance Project ontwikkelaars en bedrijven op, zodat zij licentievereisten beter gaan begrijpen.

Gerelateerd:  Meer vraag dan ooit naar werknemers met kennis van open source