참고
오픈 소스 라이선스 준수는 공개 미리 보기 상태이며 변경될 수 있습니다.
Overview
Open source 라이선스 준수는 종속성 라이선스를 추적하고 공급망에서 오픈 소스 소프트웨어에 대한 정책을 적용하는 데 도움이 됩니다. 라이선스 준수를 사용하여 변경 내용이 병합되기 전에 부적합 종속성을 포착하여 법적 및 운영 위험을 줄일 수 있습니다.
라이선스 정책 작동 방식
사용할 수 있는 라이선스 종속성을 제어하는 엔터프라이즈 또는 조직 정책을 정의할 수 있습니다.
SPDX 라이선스 식별자를 수동으로 추가하여 기본 제공 목록 또는 라이선스가 나열되지 않은 경우 라이선스를 지정할 수 있습니다.
정책은 엔터프라이즈, 조직 및 리포지토리 범위에 적용됩니다. 엔터프라이즈 오픈 소스 라이선스 관리자가 요청을 승인할 때 패키지 또는 라이선스 예외를 추가할 수도 있습니다.
라이선스 평가는 종속성 그래프에서 검색된 전이적 종속성을 포함하여 리포지토리의 종속성 데이터를 사용합니다.
끌어오기 요청 적용 작동 방식
오픈 소스 라이선스 규정 준수는 분기 규칙 집합을 통해 적용됩니다. 끌어오기 요청이 패키지 매니페스트를 GitHub 변경하는 경우 기본 및 끌어오기 요청 분기 간의 종속성 변경 내용을 비교하고, 정책에 대해 검색된 라이선스를 평가하고, 위반을 보고합니다.
활성 모드에서 "병합하기 전에 라이선스 준수 결과 필요" 조건을 사용하는 규칙 집합이 있는 경우 비준수 종속성을 도입하는 끌어오기 요청은 위반이 해결될 때까지 차단됩니다. 해당 조건이 있는 평가 모드 규칙 집합은 라이선스 검사를 실행하고 끌어오기 요청에 주석을 달지만 병합을 차단하지는 않습니다.
또한 병합하기 전에 주석 확인이 필요한 분기 보호 규칙은 라이선스 검사에서 주석을 추적하므로 평가 규칙 집합에서 생성된 경고도 보호 대상이 됩니다.
결과가 표시되는 위치
종속성의 라이선스가 정책에 없는 경우 결과 끌어오기 요청 주석에 표시됩니다. 개발자가 비규격 종속성을 방지하기 위해 코드를 수정하도록 결정할 수 있으므로 주석은 예외 요청을 자동으로 생성하지 않습니다. 종속성을 GitHub 사용하려는 경우 개발자에게 자세한 정보를 묻는 메시지를 표시한 다음, 정책을 수정할 수 있는 권한이 있는 엔터프라이즈 오픈 소스 라이선스 관리자에게 닫기 요청을 보냅니다.
엔터프라이즈 오픈 소스 라이선스 관리자의 경우 보류 중인 예외 요청은 엔터프라이즈 보안 보기에서 사용할 수 있으며 이메일 알림으로 전송됩니다.
범위 및 거버넌스 모델
일반적인 기준에 대한 엔터프라이즈 범위에서 정책을 만든 다음 필요한 경우 리포지토리별 예외를 계층화할 수 있습니다.
대기업의 경우 일반적인 패턴은 다음과 같습니다.
- 중앙에서 광범위한 정책 정의
- 정책 검토자에게 엔터프라이즈 오픈 소스 라이선스 관리자 역할 할당
- 리포지토리 사용자 지정 속성을 사용하여 리포지토리를 비활성, 평가 또는 활성으로 분류
- 사용자 지정 속성 값을 대상으로 하는 규칙 집합을 사용하여 리포지토리별 적용 모드 제어
쓰기 권한이 있는 개발자는 리포지토리의 라이선스 정책 설정 페이지에서 리포지토리에 대한 유효 정책 및 예외를 볼 수 있습니다.
다음 단계
시작하려면 오픈 소스 라이선스 정책 구성을(를) 참조하세요.
규첵 세트에 관한 자세한 내용은 규칙 세트에 대한 정보을 참조하세요.