SIG-compliance双周例会
时间:2021年5月18日 上午10:00-11:00
与会者(请与会者在下面添加您的姓名):杨聪、李自、郑志鹏、杨昭、王悦良

SIG-compliance组6月1日例会轮值主持人:郑志鹏

议题(描述-发起人):
1.“张飞”(license扫描工具)门禁与openeuler社区CI工具jenkins的集成流程中,非SPDX(Software Package Data Exchange, 一种记录有关软件许可信息的文件格式)规范的license如何处理 责任人: 杨聪
2.合规SIG组例会分享的“张飞”(license扫描)工具使用 责任人: 杨聪
3.scantist工具与其它license扫描和漏洞扫描工具优缺点对比分享 责任人: 李冠庆
4.代码血缘关系分析报告确认系统试用前演示交流 责任人: 王小军

会议纪要:

1.“张飞”(license扫描工具)门禁与openeuler社区CI工具jenkins的集成流程中,非SPDX(Software Package Data Exchange, 一种记录有关软件许可信息的文件格式)规范的license如何处理 责任人: 杨聪

SPDX(Software Package Data Exchange)是用于传达软件物料清单信息(包括组件、许可证、版权和安全参考)的开放标准。张飞扫描工具采用 SPDX 报告许可证信息:以 SDPX 格式提供许可证信息,以尽量减少任何可能的错误,并标准化报告信息的方式。因此,扫描结果中,如果license信息错误,扫描工具不能给出SPDX格式规范或者给出unknown-license-reference。目前已经扫描openEuler仓库10+款较为典型的项目,发现对于license信息匹配不上的会提示unknown-license-reference,但均是系统误报。
所以对于这种提示信息的处理分为三步:
(1)门禁系统给出模糊匹配信息,判断这款license与哪款license信息最相似,然后再确认是否是license文本信息有误;
(2)确认是否是系统误报,可查看该issue下是否有相关误报信息,如果没有相关误报信息,请在此issue下进行回复;
(3)若license信息均不属于上述两种情况,提交issue关联compliance-sig组,由sig组分析后给出建议并添加到张飞license数据库

2.合规SIG组例会分享的“张飞”(license扫描)工具使用 责任人: 杨聪

现在提供源码、docker镜像等形式使用工具,详细使用说明、使用链接可参考https://gitee.com/compliance-tools/compliance-zhangfei.git. 另外,该系统也提供了门禁集成的功能,详细部署到Jenkins流程的代码及配置可参考https://gitee.com/compliance-bot/jenkins-bot.git

遗留问题:
由于相关责任人时间冲突,可在下次例会进行分享

1.scantist工具与其它license扫描和漏洞扫描工具优缺点对比分享 责任人: 李冠庆
2.代码血缘关系分析报告确认系统试用前演示交流 责任人: 王小军