FOSSA привлекает 2,2 миллиона долларов для автоматизации соответствия лицензий с открытым исходным кодом

Кевин Ван и его команда в FOSSA заняли для себя нишу в пространстве продуктов с открытым исходным кодом, выпустив инструмент для анализа соответствия лицензий и зависимостей. На этой неделе компания объявила о стартовом раунде в размере 2,2 миллиона долларов после завершения годичного закрытого бета-тестирования с компаниями из списка Fortune 500. FOSSA постоянно сканирует зависимости и предлагает отчеты по каждой фиксации, чтобы помочь компаниям выполнить юридические обязательства по соблюдению требований, поскольку они включают библиотеки с открытым исходным кодом.

Публичная бета-версия теперь бесплатна и открыта для всех, предлагая поддержку до 5 общедоступных / частных репозиториев и сканирование на три уровня в глубину с отчетами с открытым исходным кодом. Также доступен коммерческий вариант стоимостью 499 долл. США за репозиторий в месяц с неограниченной глубиной сканирования и настраиваемыми отчетами с открытым исходным кодом.

«Удивительно, что в 2017 году компании-разработчики программного обеспечения на самом деле не знают, что находится в их коде, — сказал Ван. «90% этого теперь исходит от третьих сторон, таких как кодовые базы с открытым исходным кодом (OSS). Хотя это звучит тривиально, на самом деле очень сложно отслеживать, что используют ваши разработчики. Большая часть этого кода не включена явным образом — вместо этого он добавляется автоматически в результате сложного поведения инструмента или одним из миллионов способов, которыми разработчики небрежно делятся кодом ».

FOSSA может обнаруживать нарушения лицензий и политик, а также нелицензированные зависимости до того, как дорогостоящая ошибка будет полностью интегрирована в проект. Обратная связь в режиме реального времени заставляет разработчиков задуматься о том, как они используют библиотеки, которые встраивают в свое программное обеспечение.

Такие конкуренты, как WhiteSource и Black Duck Software , которые предлагают инструменты управления рисками с открытым исходным кодом, обнаруживают и отображают лицензии на компоненты и зависимости для приложений, но, похоже, больше сосредоточены на ошибках и отчетах об уязвимостях. FOSSA занимается исключительно соблюдением лицензий OSS и автоматизацией раскрытия информации и атрибуции.

Соответствие становится все более сложным, поскольку разработчики могут легко выполнить несколько команд и импортировать десятки модулей npm, которые наследуют лицензионные обязательства из множества различных источников. Даже правительствам и крупным компаниям с большим количеством ресурсов трудно отслеживать все требования открытого исходного кода используемого ими программного обеспечения.

В 2013 году Healthcare.gov нарушила лицензию на открытый исходный код , когда использовала подключаемый модуль DataTables jQuery без обязательной атрибуции. В прошлом году Google был втянут в судебную тяжбу с Oracle по поводу использования Java в Android.

Такой инструмент, как FOSSA, мог бы помочь Wix обнаружить нарушение GPL в 2016 году , когда компания использовала код под лицензией GPL из мобильного приложения WordPress и распространяла его в своем собственном приложении. FOSSA стремится выявлять проблемы с лицензированием до того, как они станут дорогостоящими проблемами для разработчиков, которые придется переделывать, а юристам — для урегулирования.

За несколько лет до начала работы над FOSSA Ван создал сайт tl;drLegal , на котором доступным языком объясняются лицензии на программное обеспечение. Бесплатный ресурс получил поддержку Open Source Initiative и использовался более чем миллионом разработчиков. Ван сказал, что «рассматривает FOSSA как попытку решить аналогичные проблемы в коммерческом сценарии».

Позднее в этом году FOSSA расширит свои варианты ценообразования. На данный момент бесплатная бета-версия и коммерческие варианты за 499 долларов в месяц оставляют зияющую дыру, которая исключает более мелкие организации. Ван ответил на вопросы о ценах на ProductHunt, сказав, что они в первую очередь ориентируются на корпоративных клиентов, но планируют предоставить больше возможностей для небольших команд и отдельных лиц.