Fossology

Fossology は Linux Foundation 傘下のプロジェクト。

同名のオープンソーススキャナ(オープンソースソフトウェアを検出するツール)のを開発・管理している。^[1]

概要

Fossology はオープンソースのオープンソーススキャナである。元々米Hewlett-Packard社内で開発されていた^[2]^[3]。

Fossology は、Docker^[4], vagrand, ソースコード^[5]の3種類の方法でインストールできる。

現在は GitHubで開発されている^[6]。

2018年4月17日にリリースされた Fossology 3.3 が最新版である。

Fossology の類似ツールとしては Fosslight ^[7]がある。

Fossology は、WEBベース(PHP)のソフトウェアで、ライセンスチェッカーとも呼ばれる複数のエージェント(nomos, ninka等)^[8]がソースコードをスキャンし、ソースコードなどから特徴的な文字列を検索するなどして、ライセンス表記や著作権表記、輸出管理などを特定する^[9]。

Fossology は、オープンソースソフトウェアのソースコードのデータベースを持っていない。そのためFossologyはライセンスを検出できても、オープンソースの名前やバージョンなどは特定できない。また、ソースコード中にソースコード片(スニペット)を追加した場合も検出できない。

スキャンの際にはバイナリファイルも同様にスキャンするため、バイナリデータにGPLなどの文字が検出されてしまう、可能性がある。もちろん、GPLでライセンスされたオブジェクトコードにGPLの文字が含まれている可能性はあるが、誤検出の可能性があるため、確認は必要である。