De acordo com pt.wedoany.com-O GitHub Open Source Program Office (OSPO) integrou milhares de dependências gerenciadas internamente em um processo de revisão automatizado por meio de sua nova funcionalidade de conformidade de licenças. Esse recurso permite que os desenvolvedores verifiquem diretamente, na fase de pull request, se as licenças de novas dependências estão em conformidade com as políticas da empresa, liberando a revisão de conformidade de operações manuais ou de ferramentas de terceiros.

Com a introdução contínua de novas dependências na plataforma GitHub e em projetos internos, o gerenciamento de licenças tornou-se um elo crucial para manter a segurança da cadeia de suprimentos de software. Quase todo software vem acompanhado de um contrato de licença, cujas obrigações variam desde simples requisitos de atribuição até a obrigatoriedade de abrir todo o código-fonte. Para empresas que vendem aplicativos binários fechados, é necessário evitar a introdução de dependências que exijam a divulgação de código proprietário; para projetos que planejam publicar software de código aberto, é preciso evitar dependências sujeitas a licenças comerciais ou incompatíveis. A não conformidade pode gerar disputas legais e danos à reputação.
A revisão tradicional de licenças dependia principalmente de trabalho manual ou software de terceiros. A funcionalidade de conformidade de licenças lançada pelo GitHub para clientes do Advanced Security mudou esse processo. Ativada por meio de conjuntos de regras, a funcionalidade pode ser direcionada a repositórios específicos, escaneando automaticamente as licenças de novas dependências em pull requests que as modifiquem. Se a licença estiver em uma lista de permissões ou houver uma exceção em nível de pacote, a verificação é aprovada; caso contrário, a ferramenta gera um alerta no pull request. A equipe de revisão pode então decidir se permite aquela licença ou pacote, podendo definir o escopo da exceção — nível empresarial ou de repositório.

Há dois meses, o GitHub OSPO migrou de uma ferramenta interna de gerenciamento de conformidade para essa nova funcionalidade. Como adotante inicial, a equipe forneceu feedback durante a fase de pré-visualização pública do recurso. Na fase inicial, o OSPO definiu políticas com base em uma lista interna de licenças aceitáveis e usou o modo "avaliação" para emitir alertas sem bloquear merges, permitindo que os desenvolvedores se adaptassem ao novo processo. Após cerca de quatro semanas de operação, os alertas concentraram-se principalmente em pacotes com licenças anômalas, ausentes ou explicitamente proibidas. A equipe de política de licenças, composta por membros do OSPO e especialistas em análise de cadeia de suprimentos, está distribuída em quatro fusos horários para garantir o processamento tempestivo das solicitações de revisão. A equipe geralmente processa cada solicitação em uma a algumas horas e estabeleceu um procedimento de emergência "quebra-vidros" — se uma correção crítica for bloqueada por um alerta, a verificação de licença daquele repositório pode ser temporariamente desativada alternando o valor de um atributo personalizado. Na prática, esse procedimento de emergência foi usado apenas uma vez.

A funcionalidade suporta correspondência de exceções de pacotes com curingas, por exemplo, permitindo todo o namespace @github-ui/*, evitando aprovações individuais. Documentação interna e treinamento ajudam os desenvolvedores a entender a importância da conformidade, distribuindo a responsabilidade pelo gerenciamento de conformidade para o trabalho diário das equipes. A funcionalidade de conformidade de licenças agora está em pré-visualização pública. Clientes do GitHub Enterprise Cloud podem usá-la em repositórios com uma licença ativa do GHAS Code Security. Informações relacionadas podem ser consultadas na documentação oficial do GitHub.









