Saltar para o conteúdo principal
Para cada pacote no seu inventário, o ZeroPath normaliza os termos de licença declarados no manifesto, complementa-os com metadados externos de licença e registra uma string de licença SPDX normalizada. Quando um pacote declara mais de uma licença, elas são combinadas em uma única string. O resultado é um conjunto de dados de licenças consistente, compartilhado pelos scanners, pela UI e pelas suas exportações de SBOM, de modo que uma revisão de conformidade parte dos mesmos dados que a análise viu.

Como as licenças são classificadas

Cada licença é classificada em uma categoria baseada em obrigações, por correspondência de palavras-chave no nome de licença registrado: Essas categorias se consolidam em um sinal de risco pelo qual você pode filtrar:
  • Low — licenças permissivas; tipicamente apenas atribuição.
  • Review — obrigações de copyleft fraco (estilo LGPL/MPL) a revisar antes do release.
  • Restrictive — as obrigações mais fortes: copyleft forte e de rede (estilo GPL/AGPL).
  • Unverified — a licença é desconhecida e deve ser esclarecida.
Esta classificação é informativa, não é aconselhamento jurídico. Ela é derivada do nome da licença para ajudar você a encontrar e revisar obrigações, então strings compostas ou fora do padrão podem ser classificadas de forma imprecisa; confirme esses casos com os termos reais do pacote. O ZeroPath não bloqueia um build nem falha um scan por motivos de licença.

Trabalhando com licenças

Na página Supply Chain, a visualização de licenças resume sua exposição por categoria, com tiles de visão rápida para pacotes permissivos, pacotes copyleft a revisar e pacotes não verificados a confirmar. Ela lista cada licença com os pacotes e repositórios em que aparece.
  • Filtre por risco para focar nas obrigações que importam para a sua política.
  • Pesquise qualquer identificador de licença, por exemplo GPL-3.0-only ou SSPL, para destacar os pacotes afetados e as aplicações que os usam.
  • Restrinja por repositório e, opcionalmente, inclua ou exclua scans efêmeros da CLI.
Os dados de licença são capturados por pacote no inventário, então também fluem para as exportações de SBOM: documentos SPDX carregam declarações de licença por pacote, e componentes CycloneDX incluem informações de licença para ferramentas jurídicas downstream.