[Inspeção de código] Políticas Open Source

Olá pessoal,

alguém aqui já trabalhou com ferramentas que fazem inspeção de código em busca de falhas em compliance (licenças, copyrights, propriedade intelectual, etc…) de acordo com as práticas indicadas para Open Source? Ou conhecem sobre o assunto?

Saberiam me indicar materiais para leitura ou até mesmo compartilhar um pouco da experiência que já tiveram no assunto (quais ferramentas usaram, como era a política)?

Uma ferramenta que me indicaram é a Black Duck, falam muito bem. Mas tenho percebido que acima da ferramenta, o mais importante é a empresa possuir uma política referente a OSS.

Pretendo, depois de conhecer mais sobre o assunto e adquirir mais experiência nisso, escrever alguns posts aqui pra compartilhar o conhecimento, tenho começado a estudar o assunto mas a maioria dos materiais são em inglês, parece ser um tópico que ainda pouco se fala no mercado, me corrijam se eu estiver errado.

E aí, o que acham?

Valeu!

Olá,

Vou ser bem honesto, nunca mexi com tal tipo de informação. A única coisa em que já tive que cuidar foi code review. Mas acredito que nem faz cócega com o que precisa (parando para pensar, acho que nem é o que questionou, então deixa quieto ehehhehe).
Dei uma pesquisada e não achei nada direcionado.
Cheguei até cogitar em ler algum licenciamento, mas ainda não captei bem o que precisa.

Tu tem algum exemplo de algo que já tenha visto? Ou sobre alguma empresa que tem essa política?

Foi mal em não conseguir ajudar, mas agora gerou a minha curiosidade…

@Ramses-Saccol-de-Almeida
Cara, de qualquer forma muito obrigado por tentar ajudar!

Então, vou dar um exemplo com o que sei… para qualquer sistema desenvolvido com linguagens de mercado, é muito comum o Dev usar trechos de código que encontra na internet, ou até mesmo componentes inteiros copiados da internet. Se você comercializa esse sistema sem dar os créditos ao dono original do código que você utilizou, a empresa pode levar um processo e ter grandes perdas até mesmo financeiras. Além disso, tem como verificar a origem daquele codigo/componente pra ver se você já não está trazendo algo com bugs, algo que há muito tempo não tem atualizações, enfim, esse tipo de coisa… que pode levar a empresa a avaliar se vale a pena copiar aquilo, ou se é melhor desenvolver internamente.

Mas dentro desse “mundo” existem diversos tipos de políticas e sei que há como indentificá-las em qual política está inserido.
Sei que existem políticas do tipo “pode usar meu código sem pagar nada, mas cite meu nome nos seus Créditos” se eu não me engano a Apache é assim, outras que não pode usar de jeito nenhum (GPL se não me engano) e também as que você pode usar, mas tem que pagar pro dono daquele código.

Essas ferramentas como a Black Duck (https://www2.blackducksoftware.com/) que citei possuem uma base de conhecimento e conseguem escanear o código procurando esses gaps de compliance. Já vi alguns relatórios e é muito legal, indicam qual é o trecho que tem o falha de compliance e mostra o que fazer para regularizar. Eles tem clientes grandes como Samsung, SAP, Airbus, Intel, LG…

Enfim, pelo que andei vendo meio que isso tudo é só a ponta do Iceberg, parece ser um assunto um pouco complexo e pouco falado.

Segue alguns materiais sobre o assunto (ainda não li tudo hehe):
https://opensource.org/
https://en.wikipedia.org/wiki/GNU_General_Public_License
https://www.blackducksoftware.com/compliance/open-source-governance-compliance
http://osdelivers.blackducksoftware.com/2012/02/27/how-to-create-an-open-source-policy/
http://www.palamida.com/ (outra ferramenta de OSS compliance)

Pouco do que achei em português:
http://www.openoffice.org/pt/why/why_compliance.html
http://cio.com.br/tecnologia/2014/04/03/conformidade-legal-do-software-como-administrar/

Valeu!

Log in to reply

Looks like your connection to Agile Testers was lost, please wait while we try to reconnect.