Automatisierte Prüfung der Lizenzkompatabilität von Code-Abhängigkeiten (SBoM)
Warum machen wir das?
Zur Sicherstellung der Nachnutzbarkeit und Vorbeugung von rechtlichen Unsicherheiten/Auseinandersetzungen soll eine Prüfung der Lizenz- und Urheberrechtshinweise von verwendeten Bibliotheken automatisiert per CI erfolgen.
Relevante Links und Bemerkungen
- Umsetzung erfolgt auch im Produkt FIT-Connect: https://git.fitko.de/fit-connect/planning/-/issues/143
- OpenCoDE hat dieses Feature bereits. Wird hier auch ein SBOM in einem SBOM-Standard-Format erstellt? (siehe https://software.opencode.de/project/629#oss-compliance, Voraussetzung ist die Existenz einer `publiccode.yml`)
Tools
- https://www.fossology.org/
- JavaScript: https://www.npmjs.com/package/license-checker-rseidelsohn
- Java (Maven): https://www.mojohaus.org/license-maven-plugin/
- Wenn alle Libraries REUSE-Compliant sind, dann können wir automatisiert ein SBOM erstellen. siehe https://reuse.software/faq/#bill-of-materials und https://reuse.software/faq/#bulk-license
Akzeptanzkriterien
-
Umsetzung für das Entwicklungsportal -
Umsetzung für das docusaurus-tempalate
Durchführungsplan
Edited by Marco Holz