Zum Inhalt

Compliance

Lizenzmanagement

Prüfung von Softwarelizenzen

Es werden die direkten Dependencies und deren Lizenzen geprüft. Für Lizenzscans werden aktuell Syft und grant verwendet. Die Lizenzprüfung erfolgt derzeit manuell durch das Entwicklungsteam.

Prüfprozess

  1. Direkte Imports prüfen

    • Alle direkten Dependencies werden vor der Integration überprüft.
    • Lizenztyp und -bedingungen werden erfasst.

  2. Kompatibilitätsprüfung

    • Neue Lizenzen werden auf Kompatibilität mit der Projektlizenz geprüft.
    • Bei Unsicherheiten erfolgt eine rechtliche Bewertung.

  3. Dokumentation

    • Alle verwendeten Lizenzen werden in credits.md aufgeführt.

Verantwortlichkeiten

  • Entwickler: Prüfung vor Integration neuer Dependencies
  • Code Review: Validierung der Lizenzkompatibilität
  • Projektleitung: Freigabe bei Unsicherheiten

Geplante Verbesserungen

  • Automatisierung der Lizenzscans in der CI/CD-Pipeline
  • Automatische Aktualisierung der credits.md