许可证合规检查器Skill license-compliance-checker

许可证合规检查器是一款自动化软件依赖项许可证合规验证工具,用于在项目迁移和开发过程中确保法律合规性。主要功能包括:依赖项许可证识别、许可证兼容性验证、Copyleft许可证检测、署名要求跟踪、组织策略强制执行和合规报告生成。支持与FOSSA、WhiteSource、Black Duck等主流合规平台集成,可生成SBOM(软件物料清单)和审计就绪报告。适用于软件开发、DevOps、法律合规、开源治理等场景,帮助企业和开发者规避许可证风险,确保软件供应链安全。关键词:许可证合规、开源合规、软件依赖、法律风险、SBOM生成、合规报告、许可证扫描、开源治理、DevOps合规、软件供应链安全。

DevOps 0 次安装 1 次浏览 更新于 2/23/2026

name: license-compliance-checker description: 依赖项许可证合规性自动验证,确保迁移过程中的法律合规性 allowed-tools: [“Bash”, “Read”, “Write”, “Grep”, “Glob”, “Edit”]

许可证合规检查器技能

自动化验证所有项目依赖项的许可证合规性,确保迁移活动中的法律合规性。

目的

实现全面的许可证合规检查,包括:

  • 依赖项许可证识别
  • 兼容性验证
  • Copyleft许可证标记
  • 署名要求跟踪
  • 策略强制执行

能力

1. 许可证识别

  • 从依赖项中提取许可证
  • 解析SPDX标识符
  • 检测自定义许可证
  • 处理多许可证包

2. 兼容性检查

  • 验证许可证兼容性
  • 检查项目许可证
  • 识别冲突许可证
  • 映射依赖许可证链

3. Copyleft许可证标记

  • 检测GPL/AGPL许可证
  • 识别病毒性条款
  • 标记分发影响
  • 在专有项目中警告copyleft

4. 署名要求跟踪

  • 收集NOTICE要求
  • 跟踪署名义务
  • 生成署名文档
  • 监控合规完整性

5. 策略强制执行

  • 定义允许/阻止的许可证
  • 强制执行组织策略
  • 生成合规报告
  • 跟踪策略违规

6. 合规报告生成

  • 创建审计就绪报告
  • 生成带许可证的SBOM
  • 生成署名文件
  • 导出合规证据

工具集成

工具 用途 集成方法
FOSSA 完整合规平台 API
WhiteSource 许可证扫描 API
Black Duck 综合分析 API
license-checker npm许可证检查 CLI
licensee 许可证检测 CLI
go-licenses Go许可证检查 CLI
pip-licenses Python许可证检查 CLI

输出模式

{
  "analysisId": "string",
  "timestamp": "ISO8601",
  "projectLicense": "string",
  "dependencies": [
    {
      "name": "string",
      "version": "string",
      "license": "string",
      "spdxId": "string",
      "compatible": "boolean",
      "attributionRequired": "boolean",
      "riskLevel": "high|medium|low|none"
    }
  ],
  "compliance": {
    "status": "compliant|non-compliant|review-required",
    "violations": [],
    "warnings": [],
    "attributionNeeded": []
  },
  "sbom": {
    "format": "SPDX|CycloneDX",
    "path": "string"
  }
}

与迁移流程集成

  • 依赖分析更新:许可证验证
  • 遗留代码库评估:合规性评估

相关技能

  • dependency-scanner:依赖项发现
  • vulnerability-scanner:安全+合规

相关代理

  • dependency-modernization-agent:许可证安全更新
  • compliance-migration-agent:完整合规