> ## Documentation Index
> Fetch the complete documentation index at: https://zeropath.com/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Conformidade de Licenças

> Visibilidade de licenças por pacote — licenças SPDX agrupadas por obrigação para revisão de conformidade

Para cada pacote no seu inventário, o ZeroPath normaliza os termos de licença
declarados no manifesto, complementa-os com metadados externos de licença e
registra uma string de licença SPDX normalizada. Quando um pacote declara mais de
uma licença, elas são combinadas em uma única string. O resultado é um conjunto
de dados de licenças consistente, compartilhado pelos scanners, pela UI e pelas
suas [exportações de SBOM](/pt/sca/sbom-exports), de modo que uma revisão de
conformidade parte dos mesmos dados que a análise viu.

<h2 id="how-licenses-are-classified">
  Como as licenças são classificadas
</h2>

Cada licença é classificada em uma categoria baseada em obrigações, por
correspondência de palavras-chave no nome de licença registrado:

| Categoria            | O que significa                                                                                                                     |
| -------------------- | ----------------------------------------------------------------------------------------------------------------------------------- |
| **Permissive**       | Estilo MIT/BSD/Apache — retenção de atribuição/aviso; obrigações mínimas.                                                           |
| **Weak copyleft**    | Estilo LGPL/MPL — reciprocidade no nível de arquivo ou de biblioteca.                                                               |
| **Strong copyleft**  | Estilo GPL — obrigações de divulgação de código-fonte sobre trabalhos derivados.                                                    |
| **Network copyleft** | Estilo AGPL/Affero — obrigações acionadas pelo uso em rede.                                                                         |
| **Unknown**          | A licença não pôde ser determinada, não correspondeu a um padrão conhecido ou o enriquecimento estava temporariamente indisponível. |

Essas categorias se consolidam em um sinal de **risco** pelo qual você pode
filtrar:

* **Low** — licenças permissivas; tipicamente apenas atribuição.
* **Review** — obrigações de copyleft fraco (estilo LGPL/MPL) a revisar antes do
  release.
* **Restrictive** — as obrigações mais fortes: copyleft forte e de rede (estilo
  GPL/AGPL).
* **Unverified** — a licença é desconhecida e deve ser esclarecida.

<Info>
  Esta classificação é **informativa**, não é aconselhamento jurídico. Ela é
  derivada do nome da licença para ajudar você a encontrar e revisar obrigações,
  então strings compostas ou fora do padrão podem ser classificadas de forma
  imprecisa; confirme esses casos com os termos reais do pacote. O ZeroPath não
  bloqueia um build nem falha um scan por motivos de licença.
</Info>

<h2 id="working-with-licenses">
  Trabalhando com licenças
</h2>

Na página Supply Chain, a visualização de licenças resume sua exposição por
categoria, com tiles de visão rápida para pacotes permissivos, pacotes copyleft a
revisar e pacotes não verificados a confirmar. Ela lista cada licença com os
pacotes e repositórios em que aparece.

* **Filtre por risco** para focar nas obrigações que importam para a sua
  política.
* **Pesquise qualquer identificador de licença**, por exemplo `GPL-3.0-only` ou
  `SSPL`, para destacar os pacotes afetados e as aplicações que os usam.
* **Restrinja por repositório** e, opcionalmente, inclua ou exclua scans
  efêmeros da CLI.

<Tip>
  Os dados de licença são capturados por pacote no inventário, então também fluem
  para as [exportações de SBOM](/pt/sca/sbom-exports): documentos SPDX carregam
  declarações de licença por pacote, e componentes CycloneDX incluem informações de
  licença para ferramentas jurídicas downstream.
</Tip>
