أخبار ar.wedoany.com، قام مكتب برامج المصادر المفتوحة (OSPO) في GitHub، من خلال ميزة الامتثال للتراخيص التي تم إطلاقها حديثًا، بإدراج آلاف التبعيات التي يديرها داخليًا ضمن عملية مراجعة آلية. تتيح هذه الميزة للمطورين التحقق مباشرةً في مرحلة طلب السحب (Pull Request) من توافق ترخيص أي تبعية جديدة مع سياسة المؤسسة، مما يحرر عملية تدقيق الامتثال من العمليات اليدوية أو أدوات الطرف الثالث.

مع استمرار إدخال تبعيات جديدة في منصة GitHub والمشاريع الداخلية، أصبحت إدارة التراخيص حلقة رئيسية في الحفاظ على أمان سلسلة التوريد البرمجية. يأتي كل برنامج تقريبًا مصحوبًا باتفاقية ترخيص، وتتراوح التزاماتها بين متطلبات الإسناد البسيطة وصولاً إلى الإلزام بنشر كامل شفرة المصدر. بالنسبة للمؤسسات التي تبيع تطبيقات ثنائية مغلقة المصدر، من الضروري تجنب التبعيات التي تتطلب الكشف عن الشفرة الخاصة؛ بينما تحتاج المشاريع التي تخطط لنشر برامج مفتوحة المصدر إلى تجنب التبعيات الخاضعة لتراخيص تجارية أو غير متوافقة. قد يؤدي عدم الامتثال إلى نزاعات قانونية وخسائر في السمعة.
اعتمدت عمليات تدقيق التراخيص التقليدية بشكل كبير على العمل اليدوي أو البرامج الخارجية. غيّرت ميزة الامتثال للتراخيص التي أطلقتها GitHub لعملاء Advanced Security هذه العملية. يتم تفعيل الميزة عبر مجموعات القواعد (Rulesets)، ويمكنها، بالنسبة للمستودعات المحددة، فحص تراخيص التبعيات الجديدة تلقائيًا على طلبات السحب التي تعدل التبعيات. إذا كان الترخيص ضمن القائمة المسموح بها أو كان هناك استثناء على مستوى الحزمة، ينجح الفحص؛ وإلا، يقوم الأداة بإنشاء تنبيه في طلب السحب. يمكن لفريق المراجعة بعد ذلك اتخاذ قرار بشأن السماح بهذا الترخيص أو الحزمة، ويمكن تعيين نطاق الاستثناء - على مستوى المؤسسة أو المستودع.

قبل شهرين، انتقل مكتب OSPO في GitHub من أداة إدارة الامتثال التي بناها داخليًا إلى هذه الميزة الجديدة. كمتبنٍ مبكر، قدم الفريق ملاحظاته خلال مرحلة المعاينة العامة للميزة. في المرحلة الأولية، قام OSPO بتعيين السياسة بناءً على قائمة التراخيص المقبولة المتراكمة داخليًا، واستخدم وضع "التقييم" لإصدار تنبيهات دون منع الدمج، ليتسنى للمطورين التكيف مع العملية الجديدة. بعد حوالي أربعة أسابيع من التشغيل، تركزت التنبيهات بشكل أساسي على الحزم ذات التراخيص الشاذة أو المفقودة أو المحظورة صراحةً. يتكون فريق سياسة التراخيص من أعضاء OSPO وخبراء تحليل سلسلة التوريد، موزعين على أربع مناطق زمنية لضمان معالجة طلبات المراجعة في الوقت المناسب. عادةً ما يعالج الفريق كل طلب في غضون ساعة إلى عدة ساعات، وتم وضع إجراء طارئ لتجاوز "النافذة المكسورة" - إذا تم حظر إصلاح حاسم بواسطة تنبيه، يمكن إيقاف فحص الترخيص مؤقتًا لهذا المستودع عن طريق تبديل قيمة خاصية مخصصة. في التشغيل الفعلي، تم استخدام هذا الإجراء الطارئ مرة واحدة فقط.

تدعم الميزة مطابقة أحرف البدل (Wildcard) لاستثناءات الحزم، على سبيل المثال، السماح بمساحة الاسم @github-ui/* بأكملها، مما يلغي الحاجة إلى الموافقة على كل حزمة على حدة. تساعد الوثائق الداخلية والتدريب المطورين على فهم أهمية الامتثال، مما يوزع مسؤولية إدارة الامتثال على العمل اليومي للفرق. أصبحت ميزة الامتثال للتراخيص الآن في مرحلة المعاينة العامة، ويمكن لعملاء GitHub Enterprise Cloud استخدامها في المستودعات التي لديها ترخيص GHAS Code Security نشط. يمكن الرجوع إلى وثائق GitHub الرسمية للحصول على المعلومات ذات الصلة.









