Chaque dépendance. Directe, transitive, avec expressions SPDX complexes. Classée Permissive / Weak Copyleft / Strong Copyleft / Unknown. Surchargez les règles selon votre posture juridique, ignorez les paquets internes, livrez sans surprise.
Extraction SPDX automatique, évaluation du risque par expression, overrides au niveau organisation, assignation manuelle pour les licences inconnues, ignore par package et filtres par écosystème. Tout ce dont le juridique a besoin, à côté des findings SCA.
Les licences sont extraites des métadonnées de package au moment du scan. Pas de job séparé, pas d'outil tiers à installer. Dépendances directes, transitives et de dev portent toutes leur identifiant SPDX détecté dans le dashboard.
Permissive (MIT, Apache-2.0, BSD-2-Clause, ISC), Weak Copyleft (LGPL-2.1, MPL-2.0, EPL-2.0), Strong Copyleft (GPL-3.0, AGPL-3.0, SSPL-1.0) ou Unknown si le manifest est muet. Des défauts intégrés que les équipes juridiques reconnaissent déjà.
MIT OR GPL-3.0-only résout à l'option la moins restrictive (Permissive). MIT AND GPL-3.0-only résout à la plus restrictive (High). GPL-2.0-only WITH Classpath-exception-2.0 évalue la licence de base avec l'exception appliquée.
Si votre juridique traite LGPL-2.1 comme Permissive, surchargez la classification une fois au niveau organisation et tous les projets héritent immédiatement. Restauration aux défauts dès que la politique change.
Quand le manifest ne déclare pas de licence, le package atterrit dans la catégorie Unknown. Choisissez l'identifiant SPDX correct dans le dropdown et le package se re-catégorise automatiquement.
Activez le flag ignore sur n'importe quel package. Modules de monorepo internes, fixtures de test, outillage dev-only. Et ils disparaissent du résumé licences tout en restant visibles dans le détail.
Trois raisons pour lesquelles l'engineering, la sécurité et le juridique finissent sur le même dashboard plutôt que sur trois feuilles Excel différentes.
Chaque identifiant SPDX mappe vers une catégorie que votre équipe possède. Surchargez les défauts, ajoutez des licences propriétaires custom, réinitialisez quand la politique change. Sans quitter la plateforme.
L'extraction de licences réutilise l'étape de parsing du manifest que le scan SCA fait déjà. Même déclencheur, même fenêtre de scan, pas de second pipeline à maintenir.
L'engineering filtre par branche et écosystème pour se concentrer sur ce qu'il possède. Le juridique filtre par risque pour revoir l'exposition GPL ou AGPL. Les deux travaillent depuis la même source de vérité.
L'extraction de licences tourne sur chaque scan SCA pour npm / Yarn / pnpm / Bun / Deno, pip / Poetry / Pipenv, Maven / Gradle, Go modules, NuGet, Composer, Cargo, CocoaPods / Swift PM, Pub, Hex, RubyGems, Conan, Clojars et GitHub Actions.
Voir toutes les intégrationsChaque identifiant SPDX mappe vers une des quatre catégories. Permissive, Weak Copyleft, Strong Copyleft ou Unknown. Sur la base d'une classification intégrée couvrant 100+ licences. Les organisations peuvent surcharger n'importe quelle classification pour matcher leur politique juridique ; les overrides s'appliquent immédiatement à tous les projets de l'organisation.
Le package atterrit dans la catégorie Unknown. Depuis le résumé licences, vous pouvez ouvrir le package et lui assigner manuellement l'identifiant SPDX correct ; le package se re-catégorise alors et alimente les bons compteurs. Les licences Unknown remontent en premier dans le dashboard pour ne pas s'accumuler silencieusement.
Non. L'extraction de licences réutilise l'étape de parsing du manifest que le scan SCA fait déjà. Pas de job séparé, pas de second pipeline, pas de fenêtre de scan supplémentaire. Les données licences apparaissent dans le même dashboard à côté des findings de vulnérabilités.
Oui. La configuration au niveau organisation accepte des entrées custom avec une classification choisie (Permissive, Weak Copyleft, Strong Copyleft ou Unknown). Utile pour des licences maison ou des accords vendor qui ne font pas partie de SPDX mais qui doivent quand même être suivies à côté des licences open-source.
OR prend l'option la moins restrictive (`MIT OR GPL-3.0-only` → risque effectif None). AND prend la plus restrictive (`MIT AND GPL-3.0-only` → risque effectif High). WITH évalue la licence de base avec l'exception appliquée (`GPL-2.0-only WITH Classpath-exception-2.0` → GPL-2.0 avec exception Classpath). Le dashboard montre à la fois l'expression brute et la catégorie résolue.
Sans carte bancaire. Sans appel de configuration. Choisissez votre agent, collez la commande, Cybe applique vos règles dès le prochain prompt.
claude mcp add cybedefend --transport http https://mcp-eu.cybedefend.com/mcpMCP hébergé, aucune install. Enregistrez juste l'URL dans votre agent.