URL: https://linuxfr.org/news/outil-d-analyse-de-licences-fossology-3-8-0-rc1 Title: Outil d'analyse de licences FOSSology 3.8.0-rc1 Authors: Benoît Sibaud Date: 2020-05-01T12:16:35+02:00 License: CC by-sa Tags: fossology, conformité et spdx Score: 4 FOSSology est un outil libre d’analyse de licences dans les logiciels. Il permet de travailler sur la conformité vis-à-vis des licences libres et Open Source, de lancer des analyses sur les licences, les mentions de copyright, de générer des fichiers [SPDX](https://fr.wikipedia.org/wiki/SPDX) décrivant les licences utilisées, etc. La dernière dépêche à son propose concernait la version [1.2.1](https://linuxfr.org/news/fossology-121-est-disponible), en 2010… Une version [2.0.0](https://github.com/fossology/fossology/releases/tag/2.0.0) est parue en juin 2012, puis une [3.0.0](https://github.com/fossology/fossology/releases/tag/3.0.0) en juin 2015, et tout récemment en mars 2020 une version [3.8.0-rc1](https://github.com/fossology/fossology/releases/tag/3.8.0-rc1). ![Logo FOSSology](https://fossology.github.io/fossology-logo.gif) ---- [FOSSology](https://www.fossology.org/) [La contribution Orange à FOSSology 3.8.0](https://opensource.orange.com/fr/actualites/community-fr/la-contribution-orange-a-fossology-3-8-0/) [TNG et FOSSology (principalement des conferences données)](https://www.tngtech.com/en/search.html?tx_kesearch_pi1[sword]=fossology) [Siemens "Fork for Preparing and Testing Contributions"](https://github.com/siemens/fossology) [GitHub FOSSology](https://github.com/fossology/fossology) ---- Le code (sous GPLv2) vient initialement de HP. Puis de multiples contributeurs se sont ajoutés, citons notamment IBM, TNG, Siemens, Bloomberg, DataRobot, Data61, OPU, HPE, OBS, IITR, Atos, Orange, Alibaba, etc. ainsi que de multiples passionnés. C’est aussi un [projet de la Linux Foundation](https://www.linuxfoundation.org/Projects/fossology/) et un de ses articles résume les [10 premières années du projet](https://www.linuxfoundation.org/blog/2018/04/fossology-turns-10-a-decade-of-highlights/). Le code est du PHP, et nécessite PostgreSQL et Apache httpd (des versions Docker et Vagrant sont aussi disponibles). Quelques captures d’écran et explications sur les fonctionnalités sont facilement accessibles sur la [page du projet](https://www.fossology.org/features/), ainsi qu’une [foire aux questions](https://www.fossology.org/get-started/faq/) les plus fréquentes. La dernière version [3.8.0-rc1](https://github.com/fossology/fossology/releases/tag/3.8.0-rc1) (38 commits de 10 contributeurs, entreprises comme Siemens, TNG et Orange, ou individus) : une longue liste de corrections, des refactorisations et du nettoyage, et de nouvelles fonctionnalités sur divers aspects (API, rapports, interface utilisateur, etc.). [Note : À l’œil du profane que je suis en FOSSology, cette version semble être un ensemble d’améliorations assez classiques dans la vie d’un projet logiciel, plutôt qu’une version de rupture ou de grands bouleversements, mais je laisse les experts me détromper si c’est le cas.] Quelques points en vrac : - il existe d’autres outils qui produisent du SPDX, voir cette page de [spdx.org](https://spdx.org/ToolsCommunity) ; - combien de temps avant la 3.8.0 ? Regardons le passé : déjà pour la 3.5.0 et la 3.6.0 il y a eu une rc2 (ça dépend donc du nombre de personnes qui testent et des problèmes qu’elles rencontrent/découvrent ou non). Sinon le délai a été de 11 jours entre 3.5.0rc1 et la 3.5.0, un mois pour la 3.6.0, un mois et demi pour la 3.7.0 ; - je n’ai pas trouvé de failles de sécurité/[CVE](https://fr.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures) liées à FOSSology, soit que le code soit parfait, soit que personne n’ait suffisamment cherché. Vu qu’il s’agit d’un analyseur de fichiers, on pourrait s’attendre à en trouver comme autour d’autres outils analysant des flux ou des fichiers comme _Wireshark_ ou de _file_ ou de _ImageMagick_ par exemple ; - il y a une proposition pour le [Google Summer of Code 2020](https://github.com/fossology/fossology/wiki/Google-Summer-of-Code-Proposals-2020). - il existe d’autres outils libres d’analyse autour des licences : [scancode](https://github.com/nexB/scancode-toolkit/) (APLv2, Python), [licensee](https://github.com/licensee/licensee) (MIT, Gem Ruby), etc.