SIG-compliance双周例会：
时间：2021年5月18日 上午10:00-11:00
与会者（请与会者在下面添加您的姓名）：杨聪、李自、郑志鹏、杨昭、王悦良

SIG-compliance组6月1日例会轮值主持人：郑志鹏

议题（描述-发起人）：
1.“张飞”（license扫描工具）门禁与openeuler社区CI工具jenkins的集成流程中，非SPDX（Software Package Data Exchange， 一种记录有关软件许可信息的文件格式）规范的license如何处理 责任人： 杨聪
2.合规SIG组例会分享的“张飞”（license扫描）工具使用 责任人： 杨聪
3.scantist工具与其它license扫描和漏洞扫描工具优缺点对比分享 责任人： 李冠庆
4.代码血缘关系分析报告确认系统试用前演示交流 责任人： 王小军

会议纪要：

1.“张飞”（license扫描工具）门禁与openeuler社区CI工具jenkins的集成流程中，非SPDX（Software Package Data Exchange， 一种记录有关软件许可信息的文件格式）规范的license如何处理 责任人： 杨聪

SPDX（Software Package Data Exchange）是用于传达软件物料清单信息（包括组件、许可证、版权和安全参考）的开放标准。张飞扫描工具采用 SPDX 报告许可证信息：以 SDPX 格式提供许可证信息，以尽量减少任何可能的错误，并标准化报告信息的方式。因此，扫描结果中，如果license信息错误，扫描工具不能给出SPDX格式规范或者给出unknown-license-reference。目前已经扫描openEuler仓库10+款较为典型的项目，发现对于license信息匹配不上的会提示unknown-license-reference，但均是系统误报。
所以对于这种提示信息的处理分为三步：
（1）门禁系统给出模糊匹配信息，判断这款license与哪款license信息最相似，然后再确认是否是license文本信息有误；
（2）确认是否是系统误报，可查看该issue下是否有相关误报信息，如果没有相关误报信息，请在此issue下进行回复；
（3）若license信息均不属于上述两种情况，提交issue关联compliance-sig组，由sig组分析后给出建议并添加到张飞license数据库

2.合规SIG组例会分享的“张飞”（license扫描）工具使用 责任人： 杨聪

现在提供源码、docker镜像等形式使用工具，详细使用说明、使用链接可参考https://gitee.com/compliance-tools/compliance-zhangfei.git. 另外，该系统也提供了门禁集成的功能，详细部署到Jenkins流程的代码及配置可参考https://gitee.com/compliance-bot/jenkins-bot.git

遗留问题：
由于相关责任人时间冲突，可在下次例会进行分享

1.scantist工具与其它license扫描和漏洞扫描工具优缺点对比分享 责任人： 李冠庆
2.代码血缘关系分析报告确认系统试用前演示交流 责任人： 王小军