Automatisierte Prüfung der Lizenzkompatabilität von Code-Abhängigkeiten (SBoM)

Warum machen wir das?

Zur Sicherstellung der Nachnutzbarkeit und Vorbeugung von rechtlichen Unsicherheiten/Auseinandersetzungen soll eine Prüfung der Lizenz- und Urheberrechtshinweise von verwendeten Bibliotheken automatisiert per CI erfolgen.

Abgrenzung: Zur sauberen Annotation der Lizenz- und Urheberrechtshinweise von im Projekt FIT-Connect erstellem Code sollen Lizenzhinweise für alle Dateien gemäß der REUSE-Spezifikation definiert werden. Die Konformität zur REUSE-Spezifikation wird in #215 behandelt.

Relevante Links und Bemerkungen

• Stand 03.05.21
• https://www.fossology.org/
• JavaScript: https://www.npmjs.com/package/license-checker-rseidelsohn
• Java (Maven): https://www.mojohaus.org/license-maven-plugin/
• Wenn alle Libraries REUSE-Compliant sind, dann können wir automatisiert ein SBOM erstellen. siehe https://reuse.software/faq/#bill-of-materials und https://reuse.software/faq/#bulk-license

Akzeptanzkriterien

1. Für alle Projekte in der Gruppe "FIT-Connect", die Quellcode enthalten, wird via CI automatisch ein SBOM gemäß SPDX-Spezifikation erstellt.
   • Zustelldienst
   • Self-Service-Portal
   • Token Validator
   • Routingdienst
   • Entwicklungsportal
   • FIT-Connect-Tools
   • SDK .NET
   • SDK Java
   • SDK JavaScript
2. Alle genutzten Bibliotheken werden via CI automatisiert bzgl. ihrer Lizenzenkompatibilität zur EUPL überprüft.
   • Zustelldienst
   • Self-Service-Portal
   • Token Validator
   • Routingdienst
   • Entwicklungsportal
   • FIT-Connect-Tools
   • SDK .NET
   • SDK Java
   • SDK JavaScript

Durchführungsplan

1. Umsetzung für alle Software-Artefakte