Linux Foundation 正致力于通过组建新项目来改善开源的合规性，他们近日推出了一个 Automated Compliance Tooling（ACT）项目，旨在整合对推进开源合规性工具的投入，提高互操作性和可用性，从而帮助组织管理合规性义务。

根据 Linux 基金会的说法，虽然开源代码的使用变得越来越流行，但使用开源代码有责任遵守该代码许可的条款，这会给用户和组织的管理带来挑战。

Linux 基金会战略高级主管 Kate Stewart 表示：“推进开源合规性的工具或项目有很多，但大多没有资金，构建强大可用性或高级功能的范围有限。我们从许多组织那里听说，目前存在的工具无法满足当前的需求。在 Linux 基金会下成立一个中立机构来处理这些问题，将使我们能够增加对合规工具开发社区的资助和支持。”

据悉，目前已确定将成为 ACT 的一部分的四个项目为：

• FOSSology：开源许可证合规性软件系统和工具包，允许用户从命令行运行许可证，版权和导出控制扫描。
• QMSTR：该工具创建了一个集成的开源工具链，可实现许可证合规性管理的行业最佳实践。QMSTR 集成到构建系统中，以了解软件产品及其来源和依赖性。开发者可在本地运行 QMSTR 以验证结果，查看问题并生成合规性报告。
• SPDX Tools：软件包数据交换（SPDX）是用于传达软件物料清单信息的开放标准，包括组件、许可证、版权和安全参考。
• Tern： 这是一款检查工具，用于查找容器映像中安装的软件包的元数据。它可以更深入地了解容器的物料清单，从而可以更好地决定基于容器的基础架构、集成和部署策略。