こんにちは。OpenChain JWGで活動している安倍です。
コンプライアンスやセキュリティなどに対応するために、OSS管理の重要性が増しています。
それに伴い、OSS管理の手助けになるプロジェクトやツールがたくさん登場しています。
なので今回はOSSコンプライアンスに関連するプロジェクトやツールの概要を紹介したいと思います。
- CHAOSS
- Clearly Defined
- fosslight
- OpenHub
- OSS Review Toolkit (ORT)
- Software Heritage
CHAOSS
Community Health Analytics Open Source Softwareの略称
Linux Foundationが2017年9月「CHAOSS Project」を立ち上げ
CHAOSS Projectの目標は
- オープンソースコミュニティの健全性を測定する指標を確立する
- ソフトウェアコミュニティ開発を分析するための統合オープンソースソフトウェアを作成する
- オンライントレースデータでは達成できない指標を確定するためのプログラムを開発する
- プロジェクトが活性かのヘルスレポートを作成する
以下の資料に概要をまとめています。
Clearly Defined
ライセンス情報の収集と蓄積を行う。Open Source Initiativeのワーキング グループの一つ。
2018年ごろに立ち上がった。
目的はOSSパッケージ情報の収集と蓄積
- ライセンス
- 著作権者の情報
- ソースコードの場所 (リビジョン等を含む)
以下の資料に概要をまとめています。
fosslight
LG Electronicsが2014年から社内で開発・運用しているソフトウェア管理ツール
2021年6月にOSSとして公開
ライセンス:AGPL-3.0-only
対応言語:韓国語、英語
以下の資料に概要をまとめています。
OpenHub
synopsys Black Duck Open Hub
synopsysが公開しているOSSの統計情報・脆弱性情報・コミュニティの活性度などを検索できるサービス
以下の資料に概要をまとめています。
OSS Review Toolkit (ORT)
OSS Review Toolkitの略称
Linux Foundation傘下のプロジェクト
オープンソースコードのライセンス分析を行うOSSツール
- ライセンス分析の際、ソースコードのみならずソースコードの依存関係も確認する.
- 依存するOSSのソースコードを自動でダウンロードしてきたり,OSSの依存関係などを分析したレポートの作成機能やそれらを評価ツールも併せ持つ.
以下の資料に概要をまとめています。
Software Heritage
ユネスコ(UNESCO)とフランス国立情報学自動制御研究所(INRIA)が立ち上げたプロジェクト
全てのソフトウェアに対するソースコードの収集・保存・アクセスのための基盤構築が目的
2021/11/10時点で収集された情報
Source files : 11,522,325,744
Projects : 167,702,974
以下の資料に概要をまとめています。
おわりに
今回は各プロジェクトやツールの概要を紹介しました。
具体的な使用方法や活用例などは別の機会に紹介できればと考えています。
またこれ以外にもたくさんのプロジェクトやツールなどあります。
明日は、今回ご紹介出来なかったmeta-spdxscannerというツールの記事です。
どのようなツールなのか、明日の記事がとても楽しみです。