オープンソースライセンスコンプライアンスがパブリックプレビューに
GitHub が企業向けに、プルリクエストのマージ前に依存ライブラリのライセンス違反を自動検知・阻止する機能を公開プレビューとして提供開始した。
キーポイント
ルールベースの自動化チェック機能
既存の依存関係レビューアクションを拡張し、新しい「マージ前にライセンスコンプライアンスチェック結果が必要」というルール条件を導入することで、開発者が依存ライブラリを追加・変更する際に自動でポリシー検証を行う。
非準拠品のブロックと対応フロー
プルリクエストに違反した依存関係の注釈を付け、開発者はそのライブラリの削除・代替、ポリシーの修正、またはパッケージ例外の作成によってのみ対応を進めることができる。
新設された管理ロールと承認フロー
「Enterprise Open Source License Policy Manager」という新たな企業ロールが導入され、ポリシー違反の例外申請をレビュー・承認する権限を持つ管理者がメール通知を受け取り、企業コンソールから対応できる。
対象顧客と利用条件
本機能は現在、GitHub Enterprise Cloud の全顧客向けに公開プレビュー中であり、GitHub Advanced Security Code Security ライセンスを保有していることが利用の前提条件となる。
影響分析・編集コメントを表示
影響分析
この機能は、大規模組織におけるオープンソースライセンスのコンプライアンスリスク管理を、手動レビューから自動化されたインフラレベルへと転換させる画期的な進展です。開発ライフサイクルの早期段階(マージ前)で違反を検知・阻止できるため、本番環境への流出を防ぎ、法的リスクとレピュテーションリスクを劇的に低減できます。
編集コメント
開発現場では頻繁に発生するライセンス違反リスクを、コードレビューの自然な流れの中で自動的に排除できる点は非常に実用的です。特に大規模組織におけるガバナンス強化の鍵となる機能と言えます。
企業は、中央集権的なポリシーを強制する高度なルールベースのチェックにより、大規模に依存関係のライセンスを管理できるようになりました。オープンソースライセンスコンプライアンス(Open source license compliance)がパブリックプレビュー版として利用可能となり、本番環境に到達する前に非準拠の依存関係をブロックすることが可能です。
仕組み
オープンソースライセンスコンプライアンスは、新しい「マージ前にライセンスコンプライアンスチェック結果を必須とする」という条件を使用したルールセットでリポジトリを対象とすることでポリシーを発動させることで、依存関係レビューアクションの機能を拡張します。これは既存のコードスキャン条件に類似しています。開発者が依存関係を追加または変更するプルリクエストを開くと、新しいまたは変更された各依存関係が許容されるライセンスを持っていることを確認するために、自動的にポリシーに対してライセンスチェックが実行されます。この機能は、非準拠の依存関係がある場合にプルリクエストに注釈を付けます。これらの注釈は、依存関係の削除または置き換え、ライセンスポリシーの修正、またはパッケージ例外の作成によって対応する必要があります。
オープンソースライセンスコンプライアンスでは、新しい事前定義された企業ロールである「Enterprise Open Source License Policy Manager」が導入されます。この役割は、クローズリクエストをレビューして承認すべき個人やチームに割り当てます。ポリシーマネージャーは保留中のリクエストに関するメール通知を受け取り、企業コンソールからそれらをレビューできます。
試す方法
ライセンスコンプライアンスは、GitHub Advanced Security Code Security ライセンスを保有するすべての GitHub Enterprise Cloud ユーザー向けに、本日公開プレビューとして利用可能になりました。詳細なセットアップ手順については、「オープンソースライセンスコンプライアンスについて」をご覧ください。
GitHub コミュニティ内のディスカッションに参加してください。
「オープンソースライセンスコンプライアンスが公開プレビューへ」という投稿は、最初に The GitHub Blog で発表されました。
原文を表示
Enterprises can now manage their dependencies’ licenses at scale with sophisticated, ruleset-based checks that enforce a centralized policy. Open source license compliance is in public preview, letting you block noncompliant dependencies before they reach production.
How it works
Open source license compliance expands on the capabilities of the dependency review action by introducing an enterprise-wide license policy. The policy is activated by targeting repositories with a ruleset that uses a new “Require license compliance check results before merging” condition, similar to the existing code scanning conditions. When developers open pull requests that add or modify dependencies, license checks automatically run against your policy to ensure each new or changed dependency has an acceptable license. The feature will annotate the pull request for any noncompliant dependencies. These annotations must be addressed by either removing or replacing the dependency, amending the license policy, or creating package exceptions.
Open source license compliance introduces a new predefined enterprise role, Enterprise Open Source License Policy Manager. Assign this role to individuals or teams who should review and approve closure requests. Policy managers receive email notifications about pending requests and can review them from the enterprise console.
How to try it
License compliance is available today in public preview for all GitHub Enterprise Cloud customers with GitHub Advanced Security Code Security licenses. For detailed setup instructions, see About open source license compliance.
Join the discussion within GitHub Community.
The post Open source license compliance is in public preview appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み