ClearlyDefined:回顾一年的进展并分享 2024 年的愿景

在 2023 年初,我作为 ClearlyDefined 的社区经理开始工作,目标是为该项目创建一个开放治理模式,并帮助 OSI 建立一个中立的基础设施,以促进多个利益相关者之间的协作。感谢我们社区成员的出色工作,2023 年取得了很大进展,但我们仍有许多工作要做。在这篇文章中,我们想重点介绍过去一年取得的一些里程碑,并感谢为该项目做出贡献的一些个人。我们还想分享 2024 年的愿景,并邀请所有关心开源供应链的组织参与进来。

ClearlyDefined 是一个开源项目和服务,旨在充当每个已发布的软件组件的许可元数据的全球数据库。它最初由微软开发和使用,现在已被 GitHub、SAP 和彭博等公司以及 Linux 基金会的 GUACORT(开源审查工具包)等开源项目使用。2023 年初,开源促进会接管了该项目的社区管理工作。

在第一季度,Manny Martinez(微软)与 Qing Tomlinson(SAP)合作,在优化 ClearyDefined 的后端(尤其是数据库)方面取得了杰出成果。这项工作使数据库大小和成本降低了 10 倍。

在第二季度,GitHub 将其数据库中添加了来自 ClearlyDefined 的 1750 万个软件包许可证,扩大了依赖关系图、依赖关系洞察、依赖关系审查和存储库的软件物料清单 (SBOM) 中出现的软件包的许可证覆盖范围。

在第三季度,我们看到了 GitHub 和 SAP 之间由 E. Lynette Rayle 和 Qinq Tomlinson 牵头的更广泛的合作。他们正在改进文档和运行本地 ClearlyDefined 收集以及与其他收集器共享许可元数据的流程。

在第四季度,我们看到当前使用 ClearlyDefined 的各种成员和新成员齐聚一堂,为该项目创建统一的愿景。ClearlyDefined 和 ORT 的联合创始人 Thomas Steenbergen 挺身而出,帮助领导这项工作。ClearlyDefined 在 2024 年的主要目标包括

  • 发布定期版本并切换到语义版本控制
  • 更新依赖项(特别是使用最新的 scancode)
  • 改进 NOASSERTION/OTHER 问题(请查看 Aleksandrs Volodjkins 的这篇分析以了解更多信息)
  • 通过 UI 提高可用性和策展流程
  • 增强创建本地收集的文档和流程

ClearlyDefined 的使命是帮助组织在供应链的每个阶段、对于每个构建或发布,协作地大规模实现准确的许可元数据(通常是 SBOM 的一部分)。如果您的组织有兴趣提高开源供应链的合规性和安全性,请考虑加入 ClearlyDefined。我们仍在努力整合 2024 年的路线图,现在是加入该项目并了解更多关于 ClearlyDefined 如何帮助您的组织的好时机。