Cada dependencia. Directa, transitiva, con expresiones SPDX complejas. Categorizadas Permissive / Weak Copyleft / Strong Copyleft / Unknown. Sobrescribe las reglas para que coincidan con tu postura legal, ignora paquetes internos, envía sin sorpresas.
Extracción automática de SPDX, evaluación de riesgo consciente de expresiones, overrides de organización, asignación manual para desconocidas, ignore por paquete y filtros por ecosistema. Todo lo que legal necesita, junto a los findings SCA.
Las licencias se sacan de los metadatos del paquete en el momento del escaneo. Sin job extra que programar, sin herramienta separada que instalar. Dependencias directas, transitivas y de dev llevan su identificador SPDX detectado al dashboard.
Permissive (MIT, Apache-2.0, BSD-2-Clause, ISC), Weak Copyleft (LGPL-2.1, MPL-2.0, EPL-2.0), Strong Copyleft (GPL-3.0, AGPL-3.0, SSPL-1.0), o Unknown cuando el manifiesto guarda silencio. Defaults integrados que los equipos legales ya reconocen.
MIT OR GPL-3.0-only resuelve a la opción menos restrictiva (Permissive). MIT AND GPL-3.0-only resuelve a la más restrictiva (High). GPL-2.0-only WITH Classpath-exception-2.0 evalúa la base con la excepción aplicada.
Si tu equipo legal trata LGPL-2.1 como Permissive, hazle override una vez a nivel de organización y cada proyecto hereda la nueva clasificación al instante. Reset a defaults cuando la política cambie.
Cuando el manifiesto no declara licencia, el paquete cae al bucket Unknown. Elige el identificador SPDX correcto en el desplegable y el paquete se recategoriza automáticamente.
Activa el flag ignore en cualquier paquete. Módulos internos de monorepo, fixtures de test, tooling solo de dev. Desaparecen del resumen de licencias pero siguen visibles en la vista de detalle.
Tres razones por las que ingeniería, seguridad y legal acaban en el mismo dashboard en vez de en tres hojas de cálculo distintas.
Cada identificador SPDX mapea a una categoría que tu equipo controla. Sobrescribe defaults, añade licencias propietarias custom, resetea cuando la política cambie. Sin salir de la plataforma.
La extracción de licencias comparte el paso de parseo del manifiesto que el escaneo SCA ya realiza. Mismo trigger, misma ventana de escaneo, sin un segundo pipeline que mantener.
Ingeniería filtra por rama y ecosistema para centrarse en lo que les toca. Legal filtra por riesgo para revisar la exposición a GPL o AGPL. Ambos trabajan desde la misma fuente de verdad.
La extracción de licencias corre en cada escaneo SCA en npm / Yarn / pnpm / Bun / Deno, pip / Poetry / Pipenv, Maven / Gradle, módulos Go, NuGet, Composer, Cargo, CocoaPods / Swift PM, Pub, Hex, RubyGems, Conan, Clojars y GitHub Actions.
Explorar todas las integracionesCada identificador SPDX se mapea a una de cuatro categorías: Permissive, Weak Copyleft, Strong Copyleft o Unknown. Basado en una clasificación integrada que cubre 100+ licencias. Las organizaciones pueden sobrescribir cualquier clasificación para alinearse con su política legal; los overrides se aplican al instante a todos los proyectos de la organización.
El paquete cae al bucket Unknown. Desde el resumen de licencias puedes abrir el paquete y asignar el identificador SPDX correcto manualmente; el paquete se recategoriza y alimenta los contadores adecuados en el resumen. Las licencias Unknown se muestran primero en el dashboard para que no se acumulen en silencio.
No. La extracción de licencias reutiliza el paso de parseo del manifiesto que el escaneo SCA ya realiza. No hay job separado, ni segundo pipeline, ni ventana de escaneo extra. Los datos de licencias aparecen en el mismo dashboard junto a los findings de vulnerabilidades.
Sí. La configuración a nivel de organización acepta entradas custom con una clasificación elegida (Permissive, Weak Copyleft, Strong Copyleft o Unknown). Útil para licencias internas o acuerdos con vendors que no son SPDX pero hay que rastrear junto a las licencias open-source.
OR elige la opción menos restrictiva (`MIT OR GPL-3.0-only` → riesgo efectivo None). AND elige la más restrictiva (`MIT AND GPL-3.0-only` → riesgo efectivo High). WITH evalúa la licencia base con la excepción aplicada (`GPL-2.0-only WITH Classpath-exception-2.0` → GPL-2.0 con excepción Classpath). El dashboard muestra tanto la expresión cruda como la categoría resuelta.
Sin tarjeta. Sin llamada de configuración. Elige tu agente, pega el comando, y Cybe aplica tus reglas desde el siguiente prompt.
claude mcp add cybedefend --transport http https://mcp-eu.cybedefend.com/mcpMCP alojado, sin instalación. Solo registra la URL en tu agente.