Ogni dipendenza. Diretta, transitiva, con espressioni SPDX complesse. Categorizzata Permissive / Weak Copyleft / Strong Copyleft / Unknown. Sovrascrivi le regole per adattarle alla tua postura legale, ignora i pacchetti interni, spedisci senza sorprese.
Estrazione SPDX automatica, valutazione del rischio consapevole delle espressioni, override di organizzazione, assegnazione manuale per gli Unknown, ignore per package e filtri per ecosistema. Tutto ciò che serve al legale, accanto ai finding SCA.
Le licenze vengono estratte dai metadata di package al momento dello scan. Nessun job extra da schedulare, nessun tool separato da installare. Dipendenze dirette, transitive e dev portano tutte il loro identificatore SPDX rilevato nella dashboard.
Permissive (MIT, Apache-2.0, BSD-2-Clause, ISC), Weak Copyleft (LGPL-2.1, MPL-2.0, EPL-2.0), Strong Copyleft (GPL-3.0, AGPL-3.0, SSPL-1.0), o Unknown quando il manifest tace. Default integrati che i team legali già riconoscono.
MIT OR GPL-3.0-only si risolve all'opzione meno restrittiva (Permissive). MIT AND GPL-3.0-only si risolve alla più restrittiva (High). GPL-2.0-only WITH Classpath-exception-2.0 valuta la base con l'eccezione applicata.
Se il tuo team legale tratta LGPL-2.1 come Permissive, sovrascrivi una volta a livello di organizzazione e ogni progetto eredita immediatamente la nuova classificazione. Ripristina i default quando la policy cambia.
Quando il manifest non dichiara una licenza, il package finisce nel bucket Unknown. Scegli l'identificatore SPDX corretto dal dropdown e il package si ri-categorizza automaticamente.
Attiva il flag ignore su qualsiasi package. Moduli di monorepo interni, fixture di test, tooling dev-only. E spariscono dal riepilogo licenze restando visibili nella vista di dettaglio.
Tre motivi per cui engineering, sicurezza e legale finiscono sulla stessa dashboard invece che su tre fogli di calcolo diversi.
Ogni identificatore SPDX mappa su una categoria che il tuo team possiede. Sovrascrivi i default, aggiungi licenze proprietarie custom, ripristina quando la policy cambia. Senza lasciare la piattaforma.
L'estrazione delle licenze condivide lo step di parsing del manifest che lo scan SCA esegue già. Stesso trigger, stessa finestra di scan, nessuna seconda pipeline da mantenere.
L'engineering filtra per branch ed ecosistema per concentrarsi su ciò che possiede. Il legale filtra per rischio per revisionare l'esposizione GPL o AGPL. Entrambi lavorano dalla stessa fonte di verità.
L'estrazione delle licenze gira a ogni scan SCA su npm / Yarn / pnpm / Bun / Deno, pip / Poetry / Pipenv, Maven / Gradle, Go modules, NuGet, Composer, Cargo, CocoaPods / Swift PM, Pub, Hex, RubyGems, Conan, Clojars e GitHub Actions.
Sfoglia tutte le integrazioniOgni identificatore SPDX mappa su una delle quattro categorie. Permissive, Weak Copyleft, Strong Copyleft o Unknown. Sulla base di una classificazione integrata che copre 100+ licenze. Le organizzazioni possono sovrascrivere qualsiasi classificazione per adattarla alla loro policy legale; gli override si applicano immediatamente a ogni progetto dell'organizzazione.
Il package finisce nel bucket Unknown. Dal riepilogo licenze puoi aprire il package e assegnare manualmente l'identificatore SPDX corretto; il package si ri-categorizza allora e alimenta i contatori giusti nel riepilogo. Le licenze Unknown vengono fatte emergere per prime nella dashboard per non accumularsi silenziosamente.
No. L'estrazione delle licenze riusa lo step di parsing del manifest che lo scan SCA esegue già. Non c'è job separato, nessuna seconda pipeline, nessuna finestra di scan incrementale. I dati delle licenze appaiono nella stessa dashboard accanto ai finding di vulnerabilità.
Sì. La configurazione a livello di organizzazione accetta voci custom con una classificazione scelta (Permissive, Weak Copyleft, Strong Copyleft o Unknown). Utile per licenze in-house o accordi vendor che non fanno parte di SPDX ma devono comunque essere tracciati accanto alle licenze open-source.
OR sceglie l'opzione meno restrittiva (`MIT OR GPL-3.0-only` → rischio effettivo None). AND sceglie la più restrittiva (`MIT AND GPL-3.0-only` → rischio effettivo High). WITH valuta la licenza base con l'eccezione applicata (`GPL-2.0-only WITH Classpath-exception-2.0` → GPL-2.0 con eccezione Classpath). La dashboard mostra sia l'espressione grezza sia la categoria risolta.
Senza carta di credito. Senza call di setup. Scegli il tuo agente, incolla il comando, e Cybe applica le tue regole dal prossimo prompt.
claude mcp add cybedefend --transport http https://mcp-eu.cybedefend.com/mcpMCP hosted, nessuna installazione. Registra solo l'URL nel tuo agente.