Como as licenças são classificadas
Cada licença é classificada em uma categoria baseada em obrigações, por correspondência de palavras-chave no nome de licença registrado:
Essas categorias se consolidam em um sinal de risco pelo qual você pode
filtrar:
- Low — licenças permissivas; tipicamente apenas atribuição.
- Review — obrigações de copyleft fraco (estilo LGPL/MPL) a revisar antes do release.
- Restrictive — as obrigações mais fortes: copyleft forte e de rede (estilo GPL/AGPL).
- Unverified — a licença é desconhecida e deve ser esclarecida.
Esta classificação é informativa, não é aconselhamento jurídico. Ela é
derivada do nome da licença para ajudar você a encontrar e revisar obrigações,
então strings compostas ou fora do padrão podem ser classificadas de forma
imprecisa; confirme esses casos com os termos reais do pacote. O ZeroPath não
bloqueia um build nem falha um scan por motivos de licença.
Trabalhando com licenças
Na página Supply Chain, a visualização de licenças resume sua exposição por categoria, com tiles de visão rápida para pacotes permissivos, pacotes copyleft a revisar e pacotes não verificados a confirmar. Ela lista cada licença com os pacotes e repositórios em que aparece.- Filtre por risco para focar nas obrigações que importam para a sua política.
- Pesquise qualquer identificador de licença, por exemplo
GPL-3.0-onlyouSSPL, para destacar os pacotes afetados e as aplicações que os usam. - Restrinja por repositório e, opcionalmente, inclua ou exclua scans efêmeros da CLI.