Cumplimiento De GitHub En Las Dependencias De Código Abierto

Mona floats above green geometric blocks that include a GitHub invertocat logo in a decorative scene.

GitHub ha implementado una nueva función de cumplimiento de licencias que busca garantizar el uso responsable del software de código abierto en sus plataformas internas y proyectos. A diario, los ingenieros de GitHub incorporan nuevas dependencias, lo que hace vital respetar las licencias que las rigen.

La Oficina del Programa de Código Abierto de GitHub (OSPO, por sus siglas en inglés) es clave en este proceso. Gracias a la nueva función de Cumplimiento de Licencias de GitHub, se pueden gestionar miles de dependencias de manera eficiente, asegurando que las licencias respeten las políticas internas de la organización.

La mayoría del software tiene algún tipo de acuerdo de licencia, que puede exigir desde dar crédito al autor original hasta distribuir el código fuente completo. Por ello, las organizaciones deben tener políticas claras sobre qué licencias aceptan, basadas en su modelo de negocio y estrategia de distribución.

El incumplimiento de licencias puede derivar en altos riesgos legales y de reputación. Hasta ahora, las revisiones de licencias se hacían manualmente o con software de terceros. Sin embargo, la nueva función permite revisar las licencias directamente en las pull requests para clientes de GitHub Advanced Security.

Hace dos meses, la OSPO de GitHub comenzó a usar esta función, proporcionando retroalimentación al equipo de desarrollo para garantizar que cumple con los requisitos de empresas grandes y complejas. El equipo de políticas de licencias de GitHub, compuesto por miembros de OSPO y otros ingenieros, revisa las alertas en cuestión de horas, gracias a su presencia global.

El proceso incluye diversas opciones para manejar las excepciones de licencias, desde añadirlas a nivel empresarial hasta a nivel de repositorio. Además, se ha implementado un procedimiento de emergencia para situaciones críticas, aunque su uso es raro.

El cumplimiento de licencias es esencial para evitar costosas reescrituras y posibles problemas legales. GitHub espera que más compañías adopten esta función, que se encuentra en vista previa pública para los clientes de GitHub Enterprise Cloud con licencia de seguridad activa.
vía: Github Open Source

Scroll al inicio