Análisis de licencias de código abierto: lo que los desarrolladores deben saber

Contenido

Escaneado de licencias de código abierto

Los marcos de trabajo y las bibliotecas de código abierto se han convertido en bloques de construcción esenciales para la innovación rápida, pero conllevan enormes responsabilidades. Si adopta herramientas de código abierto con licencias incompatibles con el marco de cumplimiento de su organización, podría verse abocado a costosas refactorizaciones o problemas legales.

Las herramientas de escaneo de licencias de código abierto escanean sistemáticamente su árbol de dependencias en busca de cambios en las licencias asociadas a cada componente que ha añadido a su software. Con esta información integrada en su ciclo de vida de desarrollo, puede navegar fácilmente por el complejo terreno de las licencias de código abierto, código disponible, código empresarial y más allá.

También conocido como

escaneado del cumplimiento de licencias

análisis de la composición del software (SCA)

gestión de licencias

96%

de las bases de código contienen componentes de código abierto, con una media de 526 componentes por aplicación.

Fuente

Synopsys

120+

diferentes tipos y variantes de licencias de código abierto, además de otras que no están aprobadas por la OSI.

Fuente

Iniciativa de Código Abierto (OSI)

Sólo el 21%.

de las organizaciones generan actualmente listas de materiales de software para tener visibilidad de las licencias.

Fuente

GitLab

Un ejemplo de escaneado de licencias de código abierto y cómo funciona

Estas herramientas suelen escanear los archivos y dependencias del proyecto y comparar la información escaneada con una base de datos de licencias conocidas. A continuación, generan un informe en el que se enumeran todas las licencias identificadas y se señalan los posibles conflictos con el marco jurídico de la organización.

¿Cómo ayuda a los desarrolladores el escaneado de licencias de código abierto?

Beneficios

Evita violaciones accidentales de la licencia que podrían dar lugar a problemas legales, como la adopción de una nueva biblioteca con una licencia que, a su vez, te obligaría a liberar públicamente el código fuente de tu empresa.

Ayuda a mantener el cumplimiento de las licencias de código abierto y las políticas corporativas, sobre todo en sectores verticales con normas de cumplimiento más estrictas.

Visualiza la amplitud de los componentes de código abierto en sus proyectos para una mejor gestión a largo plazo.

Casos prácticos

Llevar a cabo la diligencia debida antes de lanzar un nuevo producto o una versión muy modificada de un proyecto existente.

Identificar y documentar los riesgos antes de una auditoría de software de un proveedor externo o regulador, o como parte de un proceso de fusión o adquisición.

Garantizar el cumplimiento de las políticas de la empresa sobre el uso del código abierto.

Asegure su aplicación en un abrir y cerrar de ojos

Aikido le ofrece una visión general instantánea de todos sus problemas de seguridad de código y de la nube para que pueda clasificar y corregir rápidamente las vulnerabilidades de alto riesgo.

Empezar gratis

Exploración de licencias de código abierto: visión general

Existen muchas herramientas de código abierto para escanear las licencias de sus proyectos -FOSSology, ScanCode y FOSSA son sólo algunos ejemplos-, pero cada una conlleva una sobrecarga de implementación y gestión.

He aquí cómo empezar:

Aplicación de escaneado de licencias de código abierto

Elija una herramienta de escaneado de licencias que se adapte a las necesidades y escala de su proyecto.

Integre la herramienta de escaneado en su flujo de trabajo de desarrollo o canalización CI/CD.

Ejecute un escaneo inicial de todo su código base y dependencias.

Revise el informe generado y resuelva cualquier conflicto o problema relacionado con las licencias.

Almacene sus datos de escaneado de licencias para poder comparar fácilmente varios escaneados y ver cómo cambia el riesgo de sus licencias a lo largo del tiempo.

Priorice manualmente los cambios en función de su gravedad y complejidad de aplicación.

Configure escaneos regulares para detectar nuevos problemas de licencia a medida que evoluciona su proyecto.

Aclarar y repetir.

O con aikido

Aikido

Conecta tu cuenta de GitHub, GitLab, Bitbucket o Azure DevOps.

Elija qué repos/nubes/contenedores escanear.

Obtenga resultados priorizados y consejos de reparación en unos minutos.

Buenas prácticas para un análisis eficaz de las licencias de código abierto

Lo más importante que puede hacer es realizar un análisis de licencias al principio del proceso de desarrollo para detectar problemas antes de que se incrusten profundamente en su código base. Ese inventario inicial será muy valioso a medida que la aplicación crezca en alcance y complejidad.

La misma idea se aplica a la política: cuanto antes establezca los tipos de licencias de código abierto que son aceptables para sus aplicaciones y despliegues, mejor podrá sortear su equipo los problemas que requieran recursos legales o refactorizaciones dolorosas.

A medida que desarrolle e implante, asegúrese de que sus compañeros de desarrollo entienden por qué son importantes estas exploraciones y por qué deben prestar atención a los riesgos potenciales desde el momento en que se ejecutan. npm instalardel riesgo potencial. Sus herramientas de escaneo de licencias de código abierto deben ejecutarse en horarios regulares o incluso con cada commit como parte de su pipeline CI/CD, pero si usted tomó la ruta de código abierto, asegúrese de actualizarlas regularmente en su paquete.json o un archivo equivalente para garantizar que las exploraciones conozcan los nuevos tipos y variaciones de licencia.

Empieza gratis a escanear licencias de código abierto

Conecte su plataforma Git a Aikido para iniciar el análisis de licencias de código abierto con clasificación instantánea, priorización inteligente y contexto preciso para una rápida corrección.

Escanee sus repos y contenedores de forma gratuita

Primeros resultados en 60 segundos con acceso de sólo lectura.

SOC2 Tipo 2 y

Certificación ISO27001:2022