｜原文出處：The Openchain Reference Tooling Work Group

｜翻譯：劉天棟.Ted览爵，開(kāi)源社.ONES（開(kāi)源戰(zhàn)略研究組）

｜編輯：胡湘月

｜設(shè)計(jì)：周穎

引言

開(kāi)源軟件已經(jīng)吞噬了整個(gè)世界轻姿，但企業(yè)仍在為有效的合規(guī)性而努力。開(kāi)源軟件是異質(zhì)的和重復(fù)使用的贩毕，這雖然對(duì)軟件開(kāi)發(fā)有積極意義，但對(duì)合規(guī)性造成了挑戰(zhàn)。合規(guī)性需要多種工具疹蛉，這些工具最好能組合成一個(gè)工作流程，以支持一些業(yè)務(wù)和開(kāi)發(fā)人員的要求力麸。其中一個(gè)要求是在現(xiàn)代開(kāi)發(fā)環(huán)境中的易用性可款，即代碼開(kāi)發(fā)周期越來(lái)越短，新的開(kāi)發(fā)成果越來(lái)越快地被推向運(yùn)營(yíng)克蚂。要做到這一點(diǎn)闺鲸，開(kāi)源合規(guī)性工具很可能需要與開(kāi)發(fā)工具集成。

在下面的報(bào)告中埃叭，我們列出了其中的一些工具摸恍，包括它們的主要許可信息、網(wǎng)站和基于項(xiàng)目描述的功能摘要赤屋。本報(bào)告的目的是為了描繪出人們可能用來(lái)幫助保持其開(kāi)源軟件合規(guī)性的廣泛的開(kāi)源工具立镶。然而，這份報(bào)告雖然很全面类早，但并不詳盡媚媒。該報(bào)告包括自由和開(kāi)放源碼軟件工具以及一些商業(yè)工具。它還有一節(jié)是關(guān)于開(kāi)放源碼倡議和開(kāi)發(fā)環(huán)境的莺奔，因?yàn)檫@些也是走向自動(dòng)開(kāi)放符合開(kāi)放工具和開(kāi)放數(shù)據(jù)的重要途徑欣范。

本報(bào)告將在生態(tài)系統(tǒng)調(diào)查和最流行的開(kāi)源工具的實(shí)際測(cè)試的基礎(chǔ)上得到補(bǔ)充。本報(bào)告是 Double Open 項(xiàng)目中第一個(gè)工作包的一部分令哟。更多細(xì)節(jié)請(qǐng)參見(jiàn)doubleopen.org恼琼。

現(xiàn)有開(kāi)源軟件許可合規(guī)工具

1、AboutCode Toolkit

「官網(wǎng)」：AboutCode

https://www.aboutcode.org/

「許可證」：Apache-2.0

「摘要」：AboutCode Toolkit 和 About 文檔提供了一種簡(jiǎn)單的方式來(lái)記錄你在項(xiàng)目中使用的第三方軟件組件的來(lái)源屏富、許可晴竞、使用和其他重要或有趣的信息。此外狠半，這個(gè)工具能夠生成歸屬聲明噩死，并識(shí)別你的項(xiàng)目中使用的可重新分配的源代碼颤难。

2、AboutCode Manager

「官網(wǎng)」：AboutCode

https://www.aboutcode.org/

「許可證」：Apache-2.0

「摘要」：AboutCode Manager 提供了一個(gè)先進(jìn)的可視化用戶(hù)界面已维，幫助你快速評(píng)估由ScanCode 識(shí)別的許可證和其他通知行嗤，并記錄你對(duì)一個(gè)組件的有效許可證的結(jié)論。AboutCode Manager是基于 Electron的垛耳，是使用 nexB 的 AboutCode 工具的主要桌面/UI 工具栅屏。

3、Apache Rat

「官網(wǎng)」：Apache Rat

http://creadur.apache.org/rat/

「許可證」：Apache-2.0

「摘要」：Apache Rat 是一個(gè)發(fā)布審計(jì)工具堂鲜，主要針對(duì)許可證栈雳。它用 Java 編寫(xiě)，通過(guò) Maven 和 Ant 的插件在命令行中運(yùn)行缔莲。Rat 是可擴(kuò)展的哥纫。它是 Apache Creadur 項(xiàng)目的一部分。

4痴奏、Apache Tentacles

「官網(wǎng)」：Apache Tentacles

http://creadur.apache.org/tentacles/

「許可證」：Apache-2.0

「摘要」：Apache Tentacles 通過(guò)自動(dòng)與包含發(fā)布工件的版本庫(kù)進(jìn)行交互來(lái)幫助審查者蛀骇。Apache Tentacles 簡(jiǎn)化了審查由大量工件組成的版本庫(kù)的工作。它是用 Java 編寫(xiě)的抛虫，從命令行運(yùn)行松靡。

5、Apache Whisker

「官網(wǎng)」：Apache Whisker

http://creadur.apache.org/whisker/

「許可證」：Apache-2.0

「摘要」：Apache Whisker 協(xié)助組裝的應(yīng)用程序保持正確的法律文件建椰。Whisker 可以

驗(yàn)證--針對(duì)某一個(gè)發(fā)行版檢查其元數(shù)據(jù)的質(zhì)量

生成--從元數(shù)據(jù)中生成法律文件

對(duì)于復(fù)雜的組合式應(yīng)用程序特別有用。

6岛马、Bang

「官網(wǎng)」：Bang

https://github.com/armijnhemel/binaryanalysis-ng

「許可證」：AGPL-3.0

「摘要」：Binary Analysis Next Generation棉姐，即 BANG，是一個(gè)分析二進(jìn)制文件的工具啦逆。目前伞矩，它的主要目標(biāo)是非常迅速地找出二進(jìn)制文件的內(nèi)容，如固件更新夏志，并使從內(nèi)容中提取的信息可用于進(jìn)一步分析乃坤，如許可證合規(guī)性、安全研究或成分分析沟蔑。它支持大約 130 種不同的文件格式湿诊。

7、Barista

「官網(wǎng)」：Barista Open Source License and Vulnerability Management Tool

https://optum.github.io/barista/

「許可證」：Apache-2.0

「摘要」：開(kāi)發(fā)者關(guān)注：Barista 從根本上說(shuō)是一個(gè)掃描工具瘦材，用于檢測(cè)開(kāi)源組件厅须、許可證和潛在的漏洞。自動(dòng)創(chuàng)建和維護(hù)開(kāi)源材料清單食棕，包括多層次的依賴(lài)性朗和。

自定義業(yè)務(wù)規(guī)則：Barista 管理員確定與檢測(cè)到的每個(gè)許可證相關(guān)的職責(zé)或任務(wù)错沽，并根據(jù)部署模式、適用的許可證和檢測(cè)到的依賴(lài)的已知漏洞眶拉，來(lái)指派項(xiàng)目的批準(zhǔn)狀態(tài)千埃。

云原生架構(gòu)：Barista 是為云原生部署環(huán)境而設(shè)計(jì)的，允許托管的靈活性和按需擴(kuò)展忆植。

8镰禾、Bubbly

「官網(wǎng)」：Bubbly

https://github.com/valocode/bubbly/

「許可證」：MPL 2.0

「摘要」：Bubbly 是一個(gè)發(fā)布準(zhǔn)備平臺(tái)，幫助軟件團(tuán)隊(duì)自信地發(fā)布符合要求的軟件唱逢。通過(guò)報(bào)告和分析獲得你的發(fā)布過(guò)程的可見(jiàn)性吴侦，以降低風(fēng)險(xiǎn)，提高質(zhì)量坞古，減少周期時(shí)間备韧，并推動(dòng)持續(xù)改進(jìn)。

9痪枫、CLA Assistant

「官網(wǎng)」：CLA Assistant

https://github.com/cla-assistant/cla-assistant

「許可證」：Apache-2.0

「摘要」：CLA Assistant 通過(guò)讓貢獻(xiàn)者在拉取請(qǐng)求（pull request）中簽署貢獻(xiàn)者許可協(xié)議（CLA）來(lái)幫助處理對(duì)倉(cāng)庫(kù)貢獻(xiàn)的法律問(wèn)題织堂。CLA 可以存儲(chǔ)為 GitHub 的 Gist 文件，然后與 CLA Assistant 中的軟件庫(kù)/組織鏈接奶陈。倉(cāng)庫(kù)所有者可以審查每個(gè)發(fā)布版本的 CLA 的簽署用戶(hù)列表易阳。

10、Cregit

「官網(wǎng)」：Cregit

https://github.com/cregit/cregit

「許可證」：GPL-3.0

「摘要」：Cregit 可以識(shí)別源代碼的貢獻(xiàn)者吃粒。一個(gè)源文件的 Cregit 版本有兩個(gè)互動(dòng)功能潦俺。

? 1.鼠標(biāo)移動(dòng)：你會(huì)得到一個(gè)添加此令牌（token）的提交信息的摘要。這些信息是：

（1）它的 commitid

（2）它的 git-author（該提交的 Author 字段的值）

（3）它的 git-author-date（提交的 Author Date 字段的值）徐勃。

（4）提交的摘要日志

? ?2.左鍵點(diǎn)擊一個(gè)令牌（token）：會(huì)打開(kāi)一個(gè)新的窗口事示，顯示（在 GitHub 中）該提交的細(xì)節(jié)萝挤。你可以一直打開(kāi)這個(gè)窗口里烦，它將不斷重新加載文件饿肺。

11汗洒、Deltacode

「官網(wǎng)」：AboutCode

https://www.aboutcode.org/

「許可證」：Apache-2.0

「摘要」：DeltaCode 允許您輕松地比較一個(gè)軟件包呆躲、組件渤滞、代碼庫(kù)或產(chǎn)品的兩個(gè)版本的 ScanCode 掃描墓怀，以便快速識(shí)別可能的變化弹囚，重點(diǎn)是識(shí)別許可證變化揉稚。DeltaCode 報(bào)告匹配的文件秒啦，并提供一個(gè)分?jǐn)?shù)和對(duì)該分?jǐn)?shù)造成影響的因素列表。你可以使用 DeltaCode 和 ScanCode 來(lái)識(shí)別和跟蹤開(kāi)源或第三方軟件包或組件中的許可證和不同發(fā)布版本之間的相關(guān)變化窃植。

12帝蒿、Eclipse SW360

「官網(wǎng)」：Eclipse SW360

https://projects.eclipse.org/projects/technology.sw360

「許可證」：EPL-1.0

「摘要」：是一個(gè)軟件目錄應(yīng)用程序，旨在為一個(gè)組織所使用的軟件組件信息提供一個(gè)集中式分享場(chǎng)所巷怜。通過(guò)為不同的任務(wù)提供獨(dú)立的后臺(tái)服務(wù)和一組訪問(wèn)這些服務(wù)的 portlets葛超，它被設(shè)計(jì)為簡(jiǎn)潔地集成到與軟件工件和項(xiàng)目的管理有關(guān)的現(xiàn)有基礎(chǔ)設(shè)施中暴氏。它有與外部系統(tǒng)（如代碼掃描工具）互動(dòng)的連接器。到目前為止绣张，該項(xiàng)目還沒(méi)有提供下載信息答渔。

13、Eclipse SW360antenna

「官網(wǎng)」：Eclipse SW360

https://projects.eclipse.org/projects/technology.sw360.antenna

「許可證」：EPL-2.0

「摘要」：Eclipse SW360antenna 是一個(gè)可以盡可能地使你的開(kāi)源許可證合規(guī)自動(dòng)化的流程工具侥涵。歸根結(jié)底沼撕，這就是為你的項(xiàng)目：

1.收集所有與合規(guī)性有關(guān)的數(shù)據(jù)。

2.處理這些數(shù)據(jù)并警告是否存在任何與許可證合規(guī)性有關(guān)的問(wèn)題芜飘，以及

3.生成一套合規(guī)性工件（源代碼包务豺、披露文件、報(bào)告）

14嗦明、Fossology

「官網(wǎng)」：Fossology

https://www.fossology.org/

「許可證」：GPL-2.0

「摘要」：Fossology 是一款用于許可證笼沥、版權(quán)和出口控制掃描的工具。只需一次點(diǎn)擊娶牌，你就可以生成一個(gè)?SPDX 文件奔浅，或一個(gè)包含你所有的軟件版權(quán)聲明的 ReadMe 文檔。它提供了一個(gè) Web UI 和一個(gè)數(shù)據(jù)庫(kù)诗良，用于合規(guī)工作流程汹桦。要掃描，必須將軟件包上傳到服務(wù)器鉴裹。提供的掃描器有Monk舞骆、Nomos 和 Ninka。它對(duì)掃描的軟件包有版本控制壹罚，所以當(dāng)掃描以前的軟件包的較新版本時(shí)葛作，只有新改變的文件被重新掃描。

15猖凛、FOSSLight

「官網(wǎng)」：FOSSLight

https://fosslight.org/

「許可證」：AGPL-3.0 及其它

「摘要」：FOSSLight 是一個(gè)可以有效地處理開(kāi)放源碼合規(guī)過(guò)程的綜合系統(tǒng)。它提供了绪穆。

合規(guī)工作流程：它可以處理開(kāi)放源碼的合規(guī)工作流程辨泳。

合規(guī)中心：你可以管理所有關(guān)于開(kāi)放源碼合規(guī)性的事情，如許可證玖院，漏洞和其他菠红。

可擴(kuò)展性：它可以使用額外的功能（包括 FOSSLight 掃描儀或其他插件）。

16难菌、LDBCollector

「官網(wǎng)」：LDBCollector

https://github.com/maxhbr/LDBcollector

「許可證」：BSD-3-Clause

「摘要」：一個(gè)小的應(yīng)用程序试溯，它收集開(kāi)源軟件許可證元數(shù)據(jù)并將其合并。

17郊酒、License Compatibility Checker

「官網(wǎng)」：license-compatibility-checker

https://github.com/HansHammel/license-compatibility-checker#readme

「許可證」：MIT

「摘要」：根據(jù) SPDX 標(biāo)準(zhǔn)遇绞，檢查 npm 依賴(lài)的 package.json 的許可證兼容性键袱。這個(gè)項(xiàng)目宣稱(chēng)是一項(xiàng)正在進(jìn)行的工作，但已給出了軟件包中的許可證的簡(jiǎn)單比較摹闽，并解釋了許可證的允許程度（寬松的 Permissive > 弱保護(hù)的 Weakly Protective > Strongly Protective 強(qiáng)保護(hù)的> Network Protective 網(wǎng)絡(luò)保護(hù)的）蹄咖，并用一個(gè)彩色的圖顯示潛在的不兼容性。

18付鹿、Licensee.js

「官網(wǎng)」：Licensee.js

https://github.com/jslicense/licensee.js

「許可證」：Apache-2.0

「摘要」：Licensee.js 是一個(gè)命令行工具澜汤，用于根據(jù)規(guī)則檢查 npm 軟件包依賴(lài)的許可證元數(shù)據(jù)。它使用 SPDX 許可證表達(dá)式和白名單數(shù)據(jù)來(lái)捕獲與白名單不同的許可證下的軟件包舵匾。

19俊抵、Ninka

「官網(wǎng)」：Ninka

http://ninka.turingmachine.org/

「許可證」：GPL-2.0

「摘要」：Ninka 是一個(gè)輕量級(jí)的源代碼許可證識(shí)別工具。它是基于句子的坐梯，并提供了一種簡(jiǎn)單的方法來(lái)識(shí)別源代碼文件中的開(kāi)源許可證徽诲。它能夠識(shí)別幾十個(gè)不同的許可證（以及它們的變種）。

20烛缔、Opossum Tool

「官網(wǎng)」：Oposssum Tool

https://github.com/opossum-tool

「許可證」：Apache-2.0

「摘要」：一個(gè)輕量級(jí)的應(yīng)用程序馏段，用于審計(jì)和清點(diǎn)大型代碼庫(kù)的開(kāi)源許可證合規(guī)性。

OpossumUI 的開(kāi)發(fā)目標(biāo)是建立一個(gè)管理和結(jié)合不同來(lái)源的開(kāi)源合規(guī)數(shù)據(jù)的工具践瓷。雖然現(xiàn)有的軟件合規(guī)性分析工具可以提供良好的信息院喜，但由于檢測(cè)率的提高，使用多種此類(lèi)工具往往會(huì)導(dǎo)致大量的數(shù)據(jù)晕翠。即使可以通過(guò)自動(dòng)工具合并結(jié)果和過(guò)濾噪音喷舀，但最后的人工修改往往是必要的。因此淋肾，OpossumUI 誕生了硫麻。一個(gè)輕量級(jí)的應(yīng)用程序，用于審查大型代碼庫(kù)的合規(guī)信息樊卓。OpossumUI 是一個(gè)用來(lái)執(zhí)行以下任務(wù)的工具：

1.發(fā)現(xiàn)應(yīng)用中使用的開(kāi)放源碼軟件拿愧。

2.審查許可證。

3.從源代碼掃描中生成報(bào)告碌尔。

21浇辜、OSS Attribution Builder

「官網(wǎng)」：OSS Attribution Builder

https://github.com/amzn/oss-attribution-builder

「許可證」：Apache-2.0

「摘要」：OSS Attribution Builder 是一個(gè)幫助團(tuán)隊(duì)為軟件產(chǎn)品創(chuàng)建屬性文件的網(wǎng)站。

22唾戚、OSS Discovery by OpenLogic

「官網(wǎng)」：OSS Discovery

http://ossdiscovery.sourceforge.net/

「許可證」：GPL-3.0

「摘要」：OSS Discovery 可以找到嵌入在應(yīng)用程序中并安裝在計(jì)算機(jī)上的開(kāi)源軟件柳洋。它是一個(gè)掃描工具，可以給出人類(lèi)可讀和機(jī)器可讀的結(jié)果叹坦。

23熊镣、OSS Review Toolkit ORT

「官網(wǎng)」：ORT

https://github.com/heremaps/oss-review-toolkit

「許可證」：Apache-2.0

「摘要」：通過(guò)檢查源代碼和依賴(lài)關(guān)系來(lái)驗(yàn)證自由和開(kāi)源軟件許可證的合規(guī)性。它的工作原理是分析源代碼的依賴(lài)性，下載依賴(lài)性的源代碼绪囱，掃描所有源代碼的許可證信息测蹲，并對(duì)結(jié)果進(jìn)行總結(jié)。組成 ORT 的不同工具被設(shè)計(jì)成具有最小命令行界面（用于編程）的庫(kù)（用于腳本使用）毕箍。目前弛房，報(bào)告格式有 Excel 表格、NOTICE 文件而柑、靜態(tài) HTM L和 Web App文捶。

24、OSSPolice

「官網(wǎng)」：OSSPolice

https://github.com/osssanitizer/osspolice

「許可證」：GPL-3.0

「摘要」：OSSPolice 是為開(kāi)發(fā)者提供的風(fēng)險(xiǎn)評(píng)估服務(wù)媒咳，可以快速識(shí)別其應(yīng)用程序中潛在的自由軟件許可違規(guī)行為和已知的 n-day 安全漏洞粹排。

25、Quartermaster Project QMSTR

「官網(wǎng)」：QMSTR

https://qmstr.org/

「許可證」：GPL-3.0

「摘要」：Quartermaster 是一套命令行工具和構(gòu)建系統(tǒng)的擴(kuò)展涩澡，它對(duì)軟件構(gòu)建進(jìn)行分析顽耳，以創(chuàng)建FOSS 合規(guī)性文件并支持合規(guī)性決策。Quartermaster 與軟件構(gòu)建過(guò)程相鄰運(yùn)行妙同。一個(gè)主進(jìn)程收集有關(guān)軟件構(gòu)建的信息射富。一旦構(gòu)建完成，主進(jìn)程會(huì)執(zhí)行一些分析工具粥帚，最后是一些報(bào)告者胰耗。所有的模塊都是在主進(jìn)程的背景下執(zhí)行的，而不是在構(gòu)建機(jī)器上芒涡。主站運(yùn)送所有模塊的依賴(lài)關(guān)系柴灯，而不影響構(gòu)建客戶(hù)的文件系統(tǒng)（它在一個(gè)容器中運(yùn)行）。

26费尽、ScanCode.io and ScanPipe

「官網(wǎng)」：ScanCode.io

https://scancodeio.readthedocs.io/en/latest/introduction.html#

「許可證」：Apache-2.0

「摘要」：ScanCode.io 是一個(gè)服務(wù)器赠群，用于對(duì)軟件構(gòu)成分析（SCA）的過(guò)程進(jìn)行腳本化和自動(dòng)化，以識(shí)別應(yīng)用程序代碼庫(kù)中的任何開(kāi)源組件及其許可證合規(guī)性數(shù)據(jù)旱幼。ScanCode.io 可用于各種用例查描，如 Docker 容器和虛擬機(jī)組成分析，以及其他應(yīng)用柏卤。

ScanPipe 是一個(gè)對(duì)開(kāi)發(fā)者友好的框架和應(yīng)用程序叹誉，幫助軟件分析師和工程師建立和管理現(xiàn)實(shí)生活中的軟件組成分析項(xiàng)目，作為腳本管道闷旧。

ScanPipe 為執(zhí)行和組織這些軟件組成分析項(xiàng)目所需的基礎(chǔ)設(shè)施提供了一個(gè)統(tǒng)一的框架。

27钧唐、ScanCode Toolkit

「官網(wǎng)」：ScanCode

https://www.aboutcode.org/

「許可證」：Apache-2.0

「摘要」：ScanCode 是一套命令行工具忙灼，可以可靠地掃描代碼庫(kù)中的許可證、版權(quán)、軟件包清單和直接依賴(lài)關(guān)系以及其他在源代碼和二進(jìn)制代碼文件中發(fā)現(xiàn)的有趣的來(lái)源和許可證信息该园。ScanCode 提供全面的掃描結(jié)果酸舍，你可以將其保存為 JSON、HTML里初、CSV 或 SPDX啃勉。作為一個(gè)返回 JSON 的命令行應(yīng)用程序，ScanCode 很容易集成到代碼分析管道和 CI/CD 中双妨。

28淮阐、SCANOSS

「官網(wǎng)」：scanoss.com

https://www.scanoss.com/

「許可證」：GPL-2.0-or-later

「摘要」：SCANOSS 是第一個(gè)免費(fèi)和開(kāi)放源代碼的 SCA 平臺(tái)和開(kāi)放數(shù)據(jù)的 OSS 知識(shí)庫(kù)。它在 SPDX 和 CycloneDX 中執(zhí)行 SBOM 生成刁品，并在代碼片段泣特、文件和組件層面檢測(cè)開(kāi)源的存在。中心組件是一個(gè)基于 OpenAPI 標(biāo)準(zhǔn)的 RESTful API挑随。為不同的語(yǔ)言和與其他工具的整合提供了參考代碼状您。通過(guò) SCANOSS，你可以在任何工具中實(shí)現(xiàn)組件兜挨、文件和片段的匹配膏孟。公共知識(shí)庫(kù)被稱(chēng)為 OSSKB，可以在 oskb.org 上找到拌汇。掃描可以安全地和匿名地進(jìn)行柒桑。

29、SPDX Tools

「官網(wǎng)」：SPDX Tools

https://spdx.org/tools

「許可證」：Apache-2.0

「摘要」：僅需要一次下載担猛，統(tǒng)一的 SPDX 工作組工具能提供翻譯幕垦、比較和驗(yàn)證功能。該工具是一個(gè)Java 命令行工具傅联，有以下功能：

1.TagToSpreadsheet - 將一個(gè)標(biāo)簽格式的輸入文件轉(zhuǎn)換為電子表格的輸出文件

2.TagToRDF - 將一個(gè)標(biāo)簽格式的輸入文件轉(zhuǎn)換為 RDF 格式的輸出文件

3.RdfToTag - 將一個(gè) RDF 格式的輸入文件轉(zhuǎn)換為一個(gè)標(biāo)簽格式的輸出文件

4.RdfToHtml - 將一個(gè) RDF 格式的輸入文件轉(zhuǎn)換成一個(gè) HTML 網(wǎng)頁(yè)輸出文件

5.RdfToSpreadsheet - 將一個(gè) RDF 格式的輸入文件轉(zhuǎn)換為一個(gè)電子表格格式的輸出文件

6.SpreadsheetToRDF - 將一個(gè)電子表格輸入文件轉(zhuǎn)換為 RDF 格式的輸出文件

7.SpreadsheetToTag - 將電子表格輸入文件轉(zhuǎn)換為標(biāo)簽格式輸出文件

8.SPDXViewer - 顯示一個(gè) SPDX 文檔輸入文件（標(biāo)簽/值或 RDF 格式）先改。

9.CompareMultipleSpdxDocs - 比較多個(gè) SPDX 文檔（標(biāo)簽/值或 RDF 格式），并輸出到電子表格蒸走。

10.CompareSpdxDocs - 比較兩個(gè) SPDX 文檔（以標(biāo)簽/值或 RDF 格式）仇奶。

11.GenerateVerificationCode - 從一個(gè)文件目錄中生成一個(gè)驗(yàn)證碼。

30比驻、SPDX Maven Plugin

「官網(wǎng)」：SPDX Maven Plugin

https://github.com/spdx/spdx-maven-plugin

「許可證」：Apache-2.0

「摘要」：SPDX Maven 插件是 Maven 的一個(gè)插件该溯，為 POM 文件中描述的工件生成 SPDX（軟件包數(shù)據(jù)交換 Software Package Data Exchange）文件。

31别惦、TraceCode toolkit

「官網(wǎng)」：AboutCode

https://www.aboutcode.org/

「許可證」：Apache-2.0

「摘要」：TraceCode Toolkit 幫助你確定哪些組件是為你的產(chǎn)品實(shí)際分發(fā)或部署的狈茉。這是確定你的開(kāi)源許可義務(wù)的基本信息，因?yàn)楹芏喽际峭ㄟ^(guò)分發(fā)或部署才觸發(fā)的掸掸。TraceCode Toolkit 是一個(gè)分析構(gòu)建的跟蹤執(zhí)行的工具氯庆，因此你可以了解哪些文件被構(gòu)建成二進(jìn)制文件并最終部署在你的分布式軟件中蹭秋。

32、Tern

「官網(wǎng)」：Tern

https://github.com/vmware/tern

「許可證」：BSD-2-Clause

「摘要」：Tern 是一個(gè)用 Python 編寫(xiě)的用于容器的軟件包檢查工具堤撵。Tern 是一個(gè)檢查工具仁讨，用于查找安裝在容器鏡像中的軟件包的元數(shù)據(jù)。它通過(guò)兩個(gè)步驟完成這一工作实昨。

1.它使用 overlayfs 來(lái)掛載容器鏡像中的第一個(gè)文件系統(tǒng)層

2.然后洞豁，它在 chroot 環(huán)境下執(zhí)行 "命令庫(kù) "中的腳本，以收集該層中安裝的軟件包的信息

3.以這些信息為基礎(chǔ)荒给，它繼續(xù)對(duì)容器鏡像中的其他層進(jìn)行步驟 1 和 2 的迭代丈挟。

4.一旦完成，它就會(huì)生成不同格式的報(bào)告锐墙。默認(rèn)的報(bào)告是對(duì)哪些層帶來(lái)了哪些軟件組件的粗略解釋礁哄。如果提供了一個(gè)Docker文件，那么它也會(huì)提供Docker文件中的哪些行被用來(lái)創(chuàng)建這些層溪北。

33桐绒、Vulnerability Assessment Tool

「官網(wǎng)」：Vulnerability Assessment Tool

https://github.com/SAP/vulnerability-assessment-tool

「許可證」：Apache-2.0

「摘要」：開(kāi)源漏洞評(píng)估工具支持軟件開(kāi)發(fā)組織在應(yīng)用開(kāi)發(fā)過(guò)程中安全使用開(kāi)源組件。該工具分析 Java 和 Python 應(yīng)用程序之拨，以檢測(cè)它們是否依賴(lài)具有已知漏洞的開(kāi)源組件茉继，收集關(guān)于在特定應(yīng)用程序上下文中執(zhí)行脆弱代碼的證據(jù)（通過(guò)靜態(tài)和動(dòng)態(tài)分析技術(shù)的組合），并支持開(kāi)發(fā)人員減輕這種依賴(lài)性蚀乔。因此烁竭，它解決了 OWASP 十大安全風(fēng)險(xiǎn) A9，亦即使用已知漏洞的組件吉挣，這往往是數(shù)據(jù)泄露的根本原因派撕。

鳴謝

該工具的概述是由「doubleOpen Overview 」衍生出來(lái)的作品。doubleOpen Overview 的版權(quán)歸 doubleOpen 所有睬魂，并在「?CC-BY-4.0」的條款下提供终吼。doubleOpen Overview 和這個(gè)列表將是同步的。如果你發(fā)現(xiàn)了任何新的基于 OSS 的合規(guī)工具氯哮，請(qǐng)?jiān)?doubleOpen repo 或我們的 Github repo 中添加它际跪。請(qǐng)幫助我們改進(jìn)和完善目前可用的開(kāi)源軟件工具的許可合規(guī)信息。

原文

Existing OSS licensed OSS license compliance tools