オープンソースライセンスへの準拠(コンプライアンス)

オープンソースのコンポーネントを使用する場合、法的契約に署名するのと同じ扱いになります。すべてのオープンソースコンポーネントとそれに依存する可能性のあるコンポーネントにはそれぞれ独自の利用規約に従わなければならないライセンスがあります。

どのオープンソースライセンスを使用していますか?

オープンソースライセンスをまったく持たない200以上の異なるオープンソースライセンスがあり、それぞれ独自の利用規約があり、コピーレフト(ウイルス)もあり、一方的な利用が可なものもあり、条件付きで一方的な利用が可なものもあり、許可されていないものもあり(デフォルトの著作権法適用する)と様々であり、そのすべての法的要件を追跡し、確認し、満たすのは実質的に不可能です。
ライセンスを正確に追跡できない場合は危険なビジネスとなり、不幸な結果を招く可能性があります。コンポーネントを置き換えるだけでリスクになる可能性があります。最悪の場合、独自開発したコードに対する排他的所有権を危険にさらす可能性さえあります。

開発プロセスの初期段階で問題を検出する

想像してみてください。あなたは製品をリリースしようとしています。リリース前のコードスキャンで、問題のあるライセンスを持つコンポーネントを使用していることがわかりました。コンポーネントの削除とはそのコードセグメント上の図面ボードに戻って、書き換えや交換、再開発を行うことを意味します。さらに悪いことにこの問題はリリース後に発見される場合もあります。あなたの法律部門は権利侵害訴訟に直面するでしょう。
多くのソフトウェア開発チームはライセンスを手動で追跡しようとしています。彼らはコンポーネントとそのライセンスを追跡するのに成功するかもしれませんが、依存性に関する問題点は残っており、またその多くは全く異なるライセンスを持っています。
WhiteSourceでは、それはすべて自動で実施されます。ビルドに新しいオープンソースコンポーネントが追加されるたびに、WhiteSourceはそのライセンスとその依存性に関連付いたライセンスを識別します。

この無料ガイドを入手する:オープンソースライセンスについて知っておくべきことをすべて学ぶことができます


使用を制限する自動ポリシーを設定する

WhiteSourceでは、企業のライセンスポリシーを作成することもできます。自動的に承認するライセンスのホワイトリストを定義することや、自動的に拒否されるライセンスのブラックリスト(警告を発するようにする、コンポーネントまたは依存性のいずれかが追加されたときにビルドに失敗させるのいずれかを選択することができます)を定義する。あるいは、ケースバイケースで承認される必要のあるライセンスのリストを定義する等によってです。これらはあらかじめ定義された電子メール承認リクエストを送付し、後で確認ができるようにWhiteSourceシステム内ですべての承認、署名、アーカイブが追跡することができるようになっています。
ワンタイムポリシーの設定が完了したのなら、開発中に事前に定義されたライセンスポリシーに違反することが出てくれば警告が発せられるため、コンポーネントをビルドに組み込む前に十分な情報に基づいた決定を下すことができます。
WhiteSourceはライセンスされたアプリケーションと著作権の作成(EULA)も自動化しているため、ライセンス条項の遵守は迅速かつ簡単となっています。

自動化ポリシーの詳細についてはこちらをご覧ください。

インベントリーをコントロールする自動ポリシーを設定する