FOSSology est un outil libre d’analyse de licences dans les logiciels. Il permet de travailler sur la conformité vis-à-vis des licences libres et Open Source, de lancer des analyses sur les licences, les mentions de copyright, de générer des fichiers SPDX décrivant les licences utilisées, etc. La dernière dépêche à son propose concernait la version 1.2.1, en 2010… Une version 2.0.0 est parue en juin 2012, puis une 3.0.0 en juin 2015, et tout récemment en mars 2020 une version 3.8.0-rc1.
Le code (sous GPLv2) vient initialement de HP. Puis de multiples contributeurs se sont ajoutés, citons notamment IBM, TNG, Siemens, Bloomberg, DataRobot, Data61, OPU, HPE, OBS, IITR, Atos, Orange, Alibaba, etc. ainsi que de multiples passionnés. C’est aussi un projet de la Linux Foundation et un de ses articles résume les 10 premières années du projet.
Le code est du PHP, et nécessite PostgreSQL et Apache httpd (des versions Docker et Vagrant sont aussi disponibles).
Quelques captures d’écran et explications sur les fonctionnalités sont facilement accessibles sur la page du projet, ainsi qu’une foire aux questions les plus fréquentes.
La dernière version 3.8.0-rc1 (38 commits de 10 contributeurs, entreprises comme Siemens, TNG et Orange, ou individus) : une longue liste de corrections, des refactorisations et du nettoyage, et de nouvelles fonctionnalités sur divers aspects (API, rapports, interface utilisateur, etc.). [Note : À l’œil du profane que je suis en FOSSology, cette version semble être un ensemble d’améliorations assez classiques dans la vie d’un projet logiciel, plutôt qu’une version de rupture ou de grands bouleversements, mais je laisse les experts me détromper si c’est le cas.]
Quelques points en vrac :
- il existe d’autres outils qui produisent du SPDX, voir cette page de spdx.org ;
- combien de temps avant la 3.8.0 ? Regardons le passé : déjà pour la 3.5.0 et la 3.6.0 il y a eu une rc2 (ça dépend donc du nombre de personnes qui testent et des problèmes qu’elles rencontrent/découvrent ou non). Sinon le délai a été de 11 jours entre 3.5.0rc1 et la 3.5.0, un mois pour la 3.6.0, un mois et demi pour la 3.7.0 ;
- je n’ai pas trouvé de failles de sécurité/CVE liées à FOSSology, soit que le code soit parfait, soit que personne n’ait suffisamment cherché. Vu qu’il s’agit d’un analyseur de fichiers, on pourrait s’attendre à en trouver comme autour d’autres outils analysant des flux ou des fichiers comme Wireshark ou de file ou de ImageMagick par exemple ;
- il y a une proposition pour le Google Summer of Code 2020.
- il existe d’autres outils libres d’analyse autour des licences : scancode (APLv2, Python), licensee (MIT, Gem Ruby), etc.
Aller plus loin
- FOSSology (144 clics)
- La contribution Orange à FOSSology 3.8.0 (50 clics)
- TNG et FOSSology (principalement des conferences données) (23 clics)
- Siemens "Fork for Preparing and Testing Contributions" (21 clics)
- GitHub FOSSology (50 clics)
# Comparaison
Posté par barmic 🦦 . Évalué à 5.
Il se place comment par à rapport à d'autres solutions ? Je connais surtout Zenitram qui est très réputé en terme d'alerte par exemple.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.