提取项目引用的第三方库信息,避免某些许可证的兼容性和传染性

已于 2024-10-08 10:51:49 修改
阅读量205 收藏
点赞数 3
分类专栏: # React Native 项目 文章标签: 前端 javascript
于 2024-10-08 10:48:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Poggie/article/details/142753943
版权

npm list --depth=0 | awk '{print $2}' > package_names.txt

# 方法1:使用jq解析json

# cat package_names.txt | xargs npm info --json > package_info.json

# jq . package_info.json

# 方法2:使用jq过滤json

while IFS= read -r pkg; do

npm info "$pkg" --json | jq -r '{

name: .name,

author: .author,

license: .license,

description: .description,

version: .version,

devDependencies: (if .devDependencies then .devDependencies | to_entries | map("\(.key): \(.value)") | join("\n") else "" end)

}'

done < package_names.txt > package_info_filtered.json

前端项目里引用的第三方库的软件许可证有不同类型,为了避免某些许可证的兼容性和传染性,统计第三方库的信息。

验证许可证兼容性是确保软件项目合法使用开源组件的重要步骤。虽然手动检查是一种方法,但使用自动化工具能更高效地完成这一任务。以下是一些步骤和工具,可以帮助验证许可证兼容性:

  1. 使用许可证兼容性工具

    • OSS Review Toolkit (ORT):它是一个开源工具,可以帮助识别项目中的开源组件及其许可证,同时检查许可证的兼容性。
    • WhiteSource:提供许可证合规性扫描,支持多种许可证的兼容性检查。
    • JFrog Xray:除了组件分析外,还提供许可证合规性报告。

  2. 检查许可证的兼容性

    • 访问开源许可证数据库,如Open Source Licenses,以了解各种许可证的详细信息和兼容性。
    • 查阅项目中使用的许可证,确保它们与你的项目许可兼容。例如,GPL许可证可能要求你以相同方式许可你的整个项目,而MIT或Apache许可证则较为宽松。

  3. 创建许可证白名单

    • 为了简化许可证管理,可以创建一个白名单,只允许使用白名单中的许可证类型。确保团队成员了解并遵守这一政策。

  4. 利用npm audit命令

    • 虽然npm audit主要用于安全审计,但它也能检测到一些许可证问题。运行npm audit,查看审计报告中是否存在许可证相关的警告或错误。

  5. 审查第三方依赖的许可证

    • 检查你的项目直接或间接依赖的第三方库,确保它们的许可证不会对你的项目产生不利影响。

  6. 咨询法律顾问

    • 如果许可证的兼容性情况复杂或不确定,建议咨询法律顾问,以确保遵守所有适用的法律法规。

通过以上步骤,可以有效验证项目中使用的所有开源组件的许可证兼容性,避免因许可证问题导致的法律风险。自动化工具在这一过程中特别有用,不仅能节省时间,还能减少人为错误,确保项目的合法性。

Poggie
关注
专栏目录
启山智软 Smart Shop Java 微服务电商中台
04-05
启山智软 Smart Shop Java 微服务电商中台。有S2B2C供应链商城、B2B2C多商户商城、O2O外卖商城、B2C单商户商城、社区团购、B2B批发商城等众多商业模式并含有限时秒杀、直播、优惠券、满减、砍价、分销、套餐、拼团、消费返利、平台抽佣、储值、同城配送、到店自提、库存、代销更有强大的DIY装修功能。
探索 ORT:智能开源许可管理工具
gitblog_00092的博客
03-26 504
探索 ORT:智能开源许可管理工具 项目地址:https://gitcode.com/oss-review-toolkit/ort ORT 是一个强大的开源软件许可和合规性审查工具,旨在帮助开发者、企业及组织确保其依赖的开源软件包符合许可证要求,并避免潜在的法律风险。本文将深入解析 ORT 的技术原理,应用场景,及其独特优势。 项目简介 ORTOSS Review Toolkit)由芬兰电信巨头...
阿里云OSS常用工具汇总
荷塘月色
06-11 2510
介绍了几种阿里云OSS常用的工具
盘点现有开源软件许可合规工具
开源社KAIYUANSHE的博客
06-05 1551
|原文出处:The Openchain Reference Tooling Work Group|翻译:刘天栋.Ted,开源社.ONES(开源战略研究组)|编辑:胡湘月|设计:周颖引言开源软件已经吞噬了整个世界,但企业仍在为有效的合规性而努力。开源软件是异质的和重复使用的,这虽然对软件开发有积极意义,但对合规性造成了挑战。合规性需要多种工具,这些工具最好能组合成一个工作流...
第三方独立医学影像诊断中心项目可行性报告.pdf
11-28
本报告旨在就第三方独立医学影像诊断中心项目的可行性进行研究和分析,该项目旨在加强XX市医疗资源优势整合,提高医疗机构的医学影像诊断技术能力和服务水平。该项目将实现区域范围内影像的集中存储和管理、影像...
第三届教学中的互联网搜索传染病及其预防ppt课件.ppt
11-13
传染病的特点在于它们具有传染性和流行性,能够在一定范围内快速扩散,造成大规模的感染。 ### 知识点1:传染病的分类 根据病原体的不同,传染病可以分为多个类别: 1. 呼吸道传染病:如流感、肺结核,病原体通过...
论文研究 - 孟加拉国常见香料对某些传染性病原体的个体和协同抗菌活性比较
05-17
结果:根据抗菌测定的结果,香料的乙醇提取物对常见的传染性细菌病原体具有抑制活性。 香料提取物对蜡状芽孢杆菌具有最显着的活性,而大肠杆菌在被测生物中敏感性最低。 乙醇提取物具有单独的抗菌活性,平均抑菌圈...
传染病医院建设项目可行性研究报告.pdf
10-13
8. **周围环境概况**:详细描述了项目地点的地理、自然和社会环境特征,这些信息用于评估项目实施的适宜性和潜在环境风险。 9. **工程分析**:分析了项目的基本结构、设施配置,以及公用工程如供水、供电、排水系统...
教学课件:第三章常见传染病-3-细菌性疾病宠物疾病学课件.ppt
04-07
教学课件:第三章常见传染病-3-细菌性疾病宠物疾病学课件.ppt
Vue根实例、实例总结
m0_54007573的博客
10-04 664
Vue根实例、实例总结
Vue--Table的Column格式化方案
m0_69435612的博客
10-04 276
原日期格式:2024-09-07T08:32:41.000+00:00。格式化成YYYY-MM-DD。让数字显示小数点后几位。
Javascript数组研究03_手写实现_fill_filter_find_findIndex_findLast_findLastIndex
qq_33546823的博客
10-03 1305
fill()方法用一个固定值填充一个数组中从起始索引(默认为 0)到终止索引(默认为)内的全部元素。它返回修改后的数组。输入参数value:用来填充数组元素的值。start(可选):开始填充的位置,默认值为 0,索引处理方法和copyWithin一致。end(可选):停止填充的位置(不包含该位置),默认值为,索引处理方法和copyWithin方法一致。输出:修改后的原数组。注意事项该方法会改变原数组,是修改方法。对于稀疏数组,空槽也会被value填充。是通用的方法在空数组上不会有任何处理。
前端--深入了解es6语法
weixin_50559423的博客
10-10 407
ECMAScript是JavaScript的。
使用浏览器原生API实现录屏功能
m0_51431448的博客
10-10 33
本地开发环境中使用正常没问题,但是在生产环境中可能会报错,原因是因为navigator.mediaDevices为undefined了,其实除了navigator.mediaDevices,navigator.clipboard.writeText(‘复制的文本’) 这个复制到剪切板的API也是同样的问题。出现这些问题的原因是浏览器这些自带的一些API都有局限性,可能是为了安全考虑,只有在。好早之前写了个小deme,本来都忘了,现在无意中又翻出来了,所以也来记录一下吧!或者直接先不用图片都可以。
自定义分段式进度条
最新发布
qq_34465338的博客
10-10 262
在进度条的 div 中添加新的 div 来展示异常进度,颜色可以自定义;在 div 中的 background 使用渐变属性。1、需要进行分段,用来展示正常和异常状态;一样,只是需要不断的进行删除和添加。来展示整个进度条的整体进度。属性来控制异常状态的进度。2、异常状态需要提示信息
前后分离项目记录
qq_25806839的博客
10-10 74
打包报错 Thread Loader时,增加以下代码: 上线,打包prod时:
vue框架和uniapp框架区别
ning的博客
10-02 1300
Vue.js 是一个构建用户界面的渐进式框架,非常适合用来创建单页应用(SPA)。它的核心库只关注视图层,易于学习和集成,同时拥有丰富的生态系统,包括路由管理、状态管理和各种插件。Uni-app 是一个使用 Vue.js 开发所有前端应用的框架,支持编译到多个平台,包括iOS、Android、Web、以及各种小程序等。Uni-app 旨在“一套代码,多端运行”,极大地提高了开发效率。Vue.js 和 Uni-app 都是强大的前端框架,但它们的重点和应用场景有所不同。
探秘纯前端Excel表格:构建现金流量表的完整指南
葡萄城技术团队博客
10-10 522
现金流量表(Cash Flow Statement),是指反映企业在一定会计期间现金和现金等价物流入和流出的报表。现金流量表是企业财务报表的三个基本报告之一(另外两个是资产负债表和损益表)。为了全面系统地揭示企业一定时期的财务状况、经营成果和现金流量,财务报表需按财政部会计准则的标准格式设计,因此,财务报表的典型特征是数据更新频繁、分析维度多、数据来源复杂,常规的报表工具很难同时满足上述所有需求本博客将带大家了解如何使用类Excel 的 JavaScript 电子表格在前端创建现金流日历。。
一文区分SSTI 和 CSTI
zkaq7777777的博客
10-10 130
𝗦𝗲𝗿𝘃𝗲𝗿-𝘀𝗶𝗱𝗲 𝘁𝗲𝗺𝗽𝗹𝗮𝘁𝗲 𝗶𝗻𝗷𝗲𝗰𝘁𝗶𝗼𝗻 指可能发生使用服务器端模板引擎的 Web 应用程序。它涉及代码注入攻击,攻击者可以在服务器端模板中注入并执行恶意代码。𝗖𝗹𝗶𝗲𝗻𝘁 𝗦𝗶𝗱𝗲 𝗧𝗲𝗺𝗽𝗹𝗮𝘁𝗲 𝗜𝗻𝗷𝗲𝗰𝘁𝗶𝗼𝗻 是一个安全问题,攻击者的输入是注入页面并由客户端 JavaScript 库处理。TL;SSTI 允许在远程服务器上执行代码,而 CSTI 允许在受害者端【客户端】执行任意 JavaScript 代码。
oss review toolkit 实操
09-13
OSS Review ToolkitORT)是一个开源软件合规性工具,旨在帮助开发者和组织管理和评估他们的开源软件组件。ORT通过扫描项目依赖并检查它们与许可证兼容性,以及是否遵循了特定的合规策略,提供了一系列的功能,比如自动发现依赖、扫描开源许可证、检测许可冲突等。以下是一个基本的ORT实操指南: 1. 安装ORT:可以通过Python的包管理工具pip来安装ORT,也可以直接下载预编译的二进制文件进行安装。具体的安装命令可以在ORT的官方文档中找到。 2. 运行基本扫描:安装完成后,可以使用ORT提供的命令行工具来扫描项目的依赖。例如,如果你的项目是一个Gradle构建的Java项目,可以使用以下命令: ``` ort scan --input build.gradle --output results ``` 这将会扫描`build.gradle`文件中指定的依赖,并将扫描结果输出到`results`目录。 3. 分析结果:扫描完成后,ORT会生成一个或多个报告。这些报告通常包含了详细的依赖树、许可证信息以及任何检测到的合规性问题。分析这些报告,可以确保项目的开源组件都符合组织的政策和要求。 4. 集成到持续集成(CI)流程:为了持续监控项目的合规性,可以将ORT集成到CI流程中。例如,在GitHub Actions中,可以创建一个工作流,在每次提交代码时自动运行ORT扫描。 5. 定制化扫描规则:ORT还允许用户通过定义策略文件来定制化扫描规则。策略文件中可以包含特定的许可证要求、安全策略以及其他合规性检查点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值