ライセンス違反リスクを確認する
yamory では OSS ライセンス違反リスクの検知機能を提供しています。
yamory ではスキャンしたプロジェクトが依存しているオープンソースの依存関係とその脆弱性を検出しています。
OSS ライセンス違反リスク検知機能では、さらにそれらの依存オープンソースにライセンス情報を紐付け、コピーレフト系ライセンスの中でも特に対応優先度の高い AGPL 系や、頒布(配布する)プロジェクト 且つ GPL 系などのライセンス違反リスクを検出します。
ライセンスを検出する
依存しているオープンソースのライセンスを検出するには、対象のプロジェクトのスキャンを行います。
スキャン方法については、アプリライブラリをご参照ください。
ライセンスを確認する
サイドメニューの「ソフトウェアライセンス」より、どのオープンソースがどのライセンスを保有しているかを確認することができます。
ライセンス違反リスクを確認する
OSS ライセンス違反リスク検知機能では、ライセンス違反リスクを下記の5分類で抽出します。コピーレフト系ライセンスの中でも特に対応優先度の高い違反リスクである、AGPL 系や、GPL 系・頒布ありは、一度ライセンス条項をご確認いただき、ライセンス違反が発生する場合は、利用を控えることを推奨します。
| 分類名 | 想定されるリスク | 対応方法 | 判断基準 |
|---|---|---|---|
| AGPL 系 | AGPL 系のライブラリが混入している場合、ネットワークを介したソフトウェアサービスの提供でも、ソースコード公開などの制約が発生する |
顧客提供サービスでの利用を控えることを推奨します | AGPL 系にあてはまる |
| GPL 系・頒布あり | 頒布(配布)するソフトウェアに GPL 系のライブラリが混入している場合、ソフトウェア全体に GPL 系の頒布時制約が波及し、ソースコード公開やリバースエンジニアリングの許可などの制約が発生する |
顧客提供サービスでの利用を控えることを推奨します | GPL 系 頒布プロジェクト にあてはまる |
| GPL 系・頒布なし | 頒布(配布)しないソフトウェアの場合、ライセンス条項を守りながら利用できる | 一度、ライセンス条項の確認することを推奨します | GPL 系ライセンスにあてはまる |
| ライセンス未検出 | ライセンスが検出できなかったソフトウェア。古いOSSや、個人開発のOSSの可能性がある | 一度、ライセンス条項の確認することを推奨します | ライセンス未検出にあてはまる |
| その他 | ライセンス違反リスクの可能性が低い | 一度、ライセンス条項の確認することを推奨します | 上記リスクにあてはまらない |
スキャンしたプロジェクトを頒布プロジェクトとして設定する
サイドメニューの「スキャン」ページを表示し、リポジトリやプロジェクトグループの「その他」をクリック、「スキャン設定変更」を選択してください。
頒布(配布する)プロジェクトに「頒布プロジェクト」のチェックを入れ「設定を保存」すると、頒布プロジェクトとして扱われます。
npm, pnpm, Yarnで管理されているプロジェクトをスキャンした場合、フロントエンドのプロジェクトが多いため、デフォルトで「頒布プロジェクト」となります。
制限事項や注意事項について
検出時間
新しく検出したオープンソースソフトウェアに対して、運営側でライセンス情報をマッピングを行う都合上、検出までに数営業日かかる場合がございます。