Automatisierte Prüfung der Lizenzkompatabilität von Code-Abhängigkeiten (SBoM)

Warum machen wir das?

Zur Sicherstellung der Nachnutzbarkeit und Vorbeugung von rechtlichen Unsicherheiten/Auseinandersetzungen soll eine Prüfung der Lizenz- und Urheberrechtshinweise von verwendeten Bibliotheken automatisiert per CI erfolgen.

Relevante Links und Bemerkungen

• Umsetzung erfolgt auch im Produkt FIT-Connect: https://git.fitko.de/fit-connect/planning/-/issues/143
• OpenCoDE hat dieses Feature bereits. Wird hier auch ein SBOM in einem SBOM-Standard-Format erstellt? (siehe https://software.opencode.de/project/629#oss-compliance, Voraussetzung ist die Existenz einer `publiccode.yml`)

Tools

• https://www.fossology.org/
• JavaScript: https://www.npmjs.com/package/license-checker-rseidelsohn
• Java (Maven): https://www.mojohaus.org/license-maven-plugin/
• Wenn alle Libraries REUSE-Compliant sind, dann können wir automatisiert ein SBOM erstellen. siehe https://reuse.software/faq/#bill-of-materials und https://reuse.software/faq/#bulk-license

Akzeptanzkriterien

1. Umsetzung für das Entwicklungsportal
2. Umsetzung für das docusaurus-tempalate

Durchführungsplan

added component::Entwicklungsportal type::Story labels

marked this issue as related to #40

added workflow::Ready label

changed the description

added workflow::Peer Review label and removed workflow::Ready label

assigned to @rroesner

added workflow::In Progress label and removed workflow::Peer Review label