License Compliance

Open-Source-Lizenzen,bevor Legal eskaliert.

Jede Dependency. Direkt, transitiv, mit komplexen SPDX-Ausdrücken. Kategorisiert als Permissive / Weak Copyleft / Strong Copyleft / Unknown. Passen Sie die Regeln an Ihre Legal-Posture an, ignorieren Sie interne Pakete, liefern Sie ohne Überraschungen aus.

30-Min-Demo buchen
Was geliefert wird

Sechs Features, die das License-Dashboard zu einem Legal-tauglichen Report machen.

Automatische SPDX-Extraktion, ausdrucksbewusste Risiko-Bewertung, Organisations-Overrides, manuelle Zuordnung für Unknowns, Ignore pro Paket und Ökosystem-Filter. Alles, was Legal braucht, direkt neben den SCA-Findings.

Automatische SPDX-Extraktion bei jedem SCA-Scan

Lizenzen werden zur Scan-Zeit aus den Paket-Metadaten gezogen. Kein zusätzlicher Job zu planen, kein separates Tool zu installieren. Direkte Dependencies, transitive Dependencies und Dev-Dependencies tragen ihren erkannten SPDX-Identifier ins Dashboard.

Vier Risiko-Kategorien, 100+ Lizenzen vorklassifiziert

Permissive (MIT, Apache-2.0, BSD-2-Clause, ISC), Weak Copyleft (LGPL-2.1, MPL-2.0, EPL-2.0), Strong Copyleft (GPL-3.0, AGPL-3.0, SSPL-1.0) oder Unknown, wenn das Manifest schweigt. Eingebaute Defaults, die Legal-Teams direkt erkennen.

SPDX-Expression-Parser. OR, AND, WITH

MIT OR GPL-3.0-only löst zur am wenigsten restriktiven Option auf (Permissive). MIT AND GPL-3.0-only löst zur restriktivsten auf (High). GPL-2.0-only WITH Classpath-exception-2.0 bewertet die Basis mit angewandter Ausnahme.

Overrides auf Organisations-Ebene

Behandelt Ihr Legal-Team LGPL-2.1 als Permissive, überschreiben Sie das einmal auf Org-Ebene, und jedes Projekt erbt die neue Klassifizierung sofort. Zurücksetzen auf die Defaults, wann immer sich die Policy ändert.

Manuelle Zuordnung für Unknown-Lizenzen

Deklariert das Manifest keine Lizenz, landet das Paket im Unknown-Bucket. Wählen Sie den korrekten SPDX-Identifier aus dem Dropdown, und das Paket wird automatisch neu kategorisiert.

Interne oder reine Test-Pakete ignorieren

Setzen Sie das Ignore-Flag an jedem beliebigen Paket. Interne Monorepo-Module, Test-Fixtures, reines Dev-Tooling. Sie verschwinden aus dem License-Summary, bleiben aber im Detail-View sichtbar.

Warum Platform-Teams CybeDefend für License Compliance wählen

Risiko, das Sie vor Legal vertreten kannst.

Drei Gründe, warum Engineering, Security und Legal am selben Dashboard landen statt in drei verschiedenen Spreadsheets.

Auf Ihre Legal-Posture ausgerichtet

Jeder SPDX-Identifier wird einer Kategorie zugeordnet, die Ihr Team selbst verantwortet. Defaults überschreiben, eigene proprietäre Lizenzen hinzufügen, bei jeder Policy-Änderung zurücksetzen. Ohne die Plattform zu verlassen.

Kein zusätzlicher Job

Die License-Extraktion teilt sich den Manifest-Parse-Step, den der SCA-Scan eh schon macht. Gleicher Trigger, gleiches Scan-Fenster, keine zweite Pipeline zu pflegen.

Filterbar für jedes Publikum

Das Engineering filtert nach Branch und Ökosystem, um sich auf den eigenen Verantwortungsbereich zu konzentrieren. Die Rechtsabteilung filtert nach Risiko, um GPL- oder AGPL-Exposure zu prüfen. Beide arbeiten an derselben Source of Truth.

License Compliance · 14 Ökosysteme

Von npm bis NuGet, Hex bis Conan.

License-Extraktion läuft bei jedem SCA-Scan über npm / Yarn / pnpm / Bun / Deno, pip / Poetry / Pipenv, Maven / Gradle, Go Modules, NuGet, Composer, Cargo, CocoaPods / Swift PM, Pub, Hex, RubyGems, Conan, Clojars und GitHub Actions.

Alle Integrationen ansehen
License Compliance · FAQ

Was Teams fragen, bevor sie es anschalten.

Wie wird der Risiko-Level pro Lizenz festgelegt?

Jeder SPDX-Identifier mappt auf eine von vier Kategorien: Permissive, Weak Copyleft, Strong Copyleft oder Unknown. Basis ist eine eingebaute Klassifizierung mit 100+ Lizenzen. Organisationen können jede Klassifizierung passend zur Legal-Policy überschreiben; Overrides greifen sofort für jedes Projekt der Organisation.

Was passiert, wenn ein Paket keine erkannte Lizenz hat?

Das Paket landet im Unknown-Bucket. Im License-Summary öffnen Sie das Paket und vergeben den korrekten SPDX-Identifier manuell; das Paket wird daraufhin neu kategorisiert und speist die richtigen Counter im Summary. Unknown-Lizenzen tauchen im Dashboard zuerst auf, damit sie sich nicht unbemerkt ansammeln.

Verlangsamt die License-Detection den SCA-Scan?

Nein. Die License-Extraktion nutzt den Manifest-Parse-Step wieder, den der SCA-Scan eh ausführt. Kein separater Job, keine zweite Pipeline, kein zusätzliches Scan-Fenster. License-Daten erscheinen im selben Dashboard neben den Vulnerability-Findings.

Können wir eigene proprietäre Lizenzen hinzufügen?

Ja. Die Konfiguration auf Org-Ebene akzeptiert eigene Einträge mit gewählter Klassifizierung (Permissive, Weak Copyleft, Strong Copyleft oder Unknown). Nützlich für In-House-Lizenzen oder Vendor-Verträge, die nicht zu SPDX gehören, aber neben Open-Source-Lizenzen getrackt werden müssen.

Wie werden komplexe SPDX-Ausdrücke ausgewertet?

OR wählt die am wenigsten restriktive Option (`MIT OR GPL-3.0-only` → effektives Risiko None). AND wählt die restriktivste Option (`MIT AND GPL-3.0-only` → effektives Risiko High). WITH bewertet die Basis-Lizenz mit angewandter Ausnahme (`GPL-2.0-only WITH Classpath-exception-2.0` → GPL-2.0 mit Classpath-Exception). Das Dashboard zeigt sowohl den Roh-Ausdruck als auch die aufgelöste Kategorie.

Live · gerade veröffentlicht

VibeDefend installieren in 5 Sekunden.

Ein Befehl verdrahtet jeden Coding-Agenten auf Ihrem Rechner mit CybeDefend: Ihre Business Rules, Ihre Compliance-Frameworks und Guards, die destruktive Aufrufe blockieren, bevor sie ausgelöst werden.

Installation in 5 SekundenNode 18.17+
npx -y @cybedefend/vibedefend@latest install
Erkennt automatisch
  • Claude CodeClaude Code
  • CursorCursor
  • OpenAI CodexOpenAI Codex
  • WindsurfWindsurf
  • GitHub CopilotVS Code Copilot
README auf npm lesen