美国GitHub推出许可证合规性功能,自动化审查数千依赖项
2026-07-01 10:29
收藏

维度网讯,GitHub 开源计划办公室(OSPO)通过新推出的许可证合规性功能,将其内部管理的数千个依赖项纳入自动化审查流程。该功能允许开发者在拉取请求阶段直接检查新依赖项的许可证是否符合企业政策,从而将合规审查从手动或第三方工具操作中解放出来。

企业许可证策略屏幕显示SPDX许可证的分页列表,并支持通过手动输入或选择对话框添加更多许可证。

随着 GitHub 平台和内部项目不断引入新依赖,许可证管理成为维护软件供应链安全的关键一环。几乎每个软件都附带了许可协议,其义务涵盖从简单的署名要求到强制开源全部源代码等不同层次。对于销售闭源二进制应用的企业来说,需要避免引入要求公开专有代码的依赖项;而对于计划发布开源软件的项目,则需避开受商业或不兼容许可证约束的依赖项。不合规可能引发法律纠纷和声誉损失。

传统许可证审查多依赖人工或第三方软件。GitHub 为 Advanced Security 客户推出的许可证合规性功能改变了这一流程。该功能通过规则集启用,可针对特定仓库,在修改依赖项的拉取请求上自动扫描新依赖的许可证。若许可证在允许列表内或存在包级例外,检查即通过;否则,工具会在拉取请求中生成告警。审查团队可据此决定是否允许该许可证或包,并可设置例外作用范围——企业级或仓库级。

许可证告警页面,显示包名称和不合规许可证标识符,以及显示开发者和审批者之间通信的时间线。

两月前,GitHub OSPO 从内部构建的合规管理工具迁移至该新功能。作为早期采用者,团队在功能公开预览阶段提供了反馈。初始阶段,OSPO 依据内部积累的可接受许可证列表设定了政策,并使用“评估”模式发布告警但不阻止合并,以便开发人员适应新流程。运行约四周后,告警主要集中于许可证异常、缺失或明确禁止的包。许可证策略团队由 OSPO 成员及供应链分析专家组成,分布在四个时区,以保障及时处理审查请求。团队通常会在一到数小时内处理每个请求,并制定了紧急“破窗”覆盖程序——若关键修复被告警阻塞,可通过切换自定义属性值临时关闭该仓库的许可证检查。实际运行中,该紧急程序仅使用过一次。

发送给许可证审查团队的电子邮件通知,包含发起告警的用户名称、生成告警的仓库以及开发者请求允许该包(因为它是私有内部包)的注释。

该功能支持通配符匹配包例外,例如允许整个 @github-ui/* 命名空间,避免了逐一审批。内部文档与培训帮助开发者理解合规的重要性,使合规管理责任分散到团队日常工作中。许可证合规性功能现已进入公开预览,GitHub Enterprise Cloud 客户可在拥有活跃 GHAS Code Security 许可证的仓库中使用。相关信息可参照 GitHub 官方文档。

本文来自全球互联网及战略合作伙伴信息的编译与转载,仅为读者提供交流,有侵权或其它问题请及时告之,本站将予以修改或删除,未经正式授权严禁转载本文。邮箱:news@wedoany.com