Die Open Source Compliance artifact knowledge engine

OSCake, die Open Source Compliance artifact knowledge engine ist eine Komponente, die – eingebettet in Open-Source-Compliance-Tool-Chains – von anderen Open Source Scan Tools zusammengestellte Open-Source-Compliance-Artefakte nimmt und unter Auswertung des in ihr deklarativ repräsentierten Lizenzwissens die eine Open-Source-Compliance-Datei erzeugt, die es erlaubt, – wenn sie mit der entsprechenden Sammlung von Programmen und Komponenten gebündelt wird – diese lizenzkonform zu verteilen.

Bisherige Scantools folgen in der Regel dem Prinzip der Lizenzüberfüllung: sie suchen, was die eine Lizenz erfordert, auch aus allen anderen Paketen heraus. So entstehen in der Regel ‚übervolle‘ Sammlungen von Open Source Compliance Artefakten. Diese werden dann der entsprechenden Sammlungen von Softwarepaketen in der Hoffnung hinzugefügt, dass das Richtige schon irgendwo dabei sei und die Lizenzkonformität des Gesamtpaketes somit implizit hergestellt werde. Diese Strategie ist problematisch:

• Zum einen werden Fehler, die in den beigelegten Compliance-Artefakten gemacht werden, den Distributoren auch dann zugerechnet, wenn diese Teile gar nicht hätten mitgeliefert werden müssen.
• Zum anderen können die zusätzlich mitgelieferten Compliance-Artefakte diejenigen überschreiben oder aushebeln, die der Lizenz nach mitgeliefert werden müssen.

Die Open Source Compliance artifact knowledge engine folgt dagegen dem Prinzip der kontextsensitiven Lizenerfüllung: Sie erzeugt jeweils nur die Menge von Compliance-Artefakten, die die entsprechenden Lizenzen wirklich fordern, und zwar genau in dem Kontext der gerade zuständigen Lizenz. Dazu nutzt sie das in ihr Wissen um Open-Source-Lizenzen, das in ihre Domänen Spezifischen Sprache unumgehbar eingebettet worden ist.

OSCake wird von der Deutschen Telekom – im Rahmen der vor ihr gestartete Initiative Test Driven Open Source Compliance Artifacts – unter der Dach des OpenChain-Projektes der LinuxFoundation und dort in der Open Source Reference Tooling Working Group als Open Source Software unter der Eclipse Public License entwickelt und distribuiert. Als Angestellter der DTAG und Mitglied des Telekom Open Source Program Office respektive des Telekom Open Source Comittees darf ich OSCake wesentlich mit entwickeln und pflegen.

OSCake Links

• OSCake Repository: https://www.github.com/Open-Source-Compliance/OSCake
• OSCake Homepage: http://www.oscake.de/
• Open Chain Reference Tooling Work Group homepage: http://oss-compliance-tooling.org/
• OpenChain homepage: https://www.openchainproject.org/
• Test-Driven Open Source Compliance Initiative: https://github.com/Open-Source-Compliance/tdosca

© 2020 Karsten Reincke, Deutschland. Veröffentlicht unter der Creative Commons Share Alike Lizenz