Cada dependência. Direta, transitiva, com expressões SPDX complexas. Categorizada Permissive / Weak Copyleft / Strong Copyleft / Unknown. Sobrepõe as regras à tua postura legal, ignora pacotes internos, entrega sem surpresas.
Extração SPDX automática, avaliação de risco com consciência de expressões, overrides da organização, atribuição manual para desconhecidos, ignore por pacote e filtros de ecossistema. Tudo aquilo de que o jurídico precisa, ao lado dos findings SCA.
As licenças são extraídas dos metadados dos pacotes no momento do scan. Sem job extra para agendar, sem ferramenta separada para instalar. Dependências diretas, dependências transitivas e dependências de dev levam todas o seu identificador SPDX detetado para o dashboard.
Permissive (MIT, Apache-2.0, BSD-2-Clause, ISC), Weak Copyleft (LGPL-2.1, MPL-2.0, EPL-2.0), Strong Copyleft (GPL-3.0, AGPL-3.0, SSPL-1.0), ou Unknown quando o manifesto se cala. Padrões incorporados que as equipas jurídicas já reconhecem.
MIT OR GPL-3.0-only resolve-se na opção menos restritiva (Permissive). MIT AND GPL-3.0-only resolve-se na mais restritiva (High). GPL-2.0-only WITH Classpath-exception-2.0 avalia a base com a exceção aplicada.
Se a tua equipa jurídica trata a LGPL-2.1 como Permissive, faz override uma vez ao nível da organização e cada projeto herda a nova classificação de imediato. Repõe os defaults sempre que a política mude.
Quando o manifesto não declara uma licença, o pacote aterra no balde Unknown. Escolhe o identificador SPDX correto no dropdown e o pacote recategoriza-se automaticamente.
Alterna a flag de ignore em qualquer pacote. Módulos internos de monorepo, fixtures de teste, ferramentas só de dev. Desaparecem do resumo de licenças mantendo-se visíveis na vista de detalhe.
Três razões pelas quais engenharia, segurança e jurídico acabam no mesmo dashboard em vez de em três folhas de cálculo diferentes.
Cada identificador SPDX mapeia para uma categoria que a tua equipa controla. Sobrepõe defaults, adiciona licenças proprietárias personalizadas, repõe sempre que a política mudar. Sem sair da plataforma.
A extração de licenças partilha o passo de parse do manifesto que o scan SCA já executa. Mesmo trigger, mesma janela de scan, sem segunda pipeline para manter.
Engenharia filtra por branch e ecossistema para se focar no que possui. O jurídico filtra por risco para rever a exposição a GPL ou AGPL. Ambos trabalham a partir da mesma fonte de verdade.
A extração de licenças corre em cada scan SCA em npm / Yarn / pnpm / Bun / Deno, pip / Poetry / Pipenv, Maven / Gradle, módulos Go, NuGet, Composer, Cargo, CocoaPods / Swift PM, Pub, Hex, RubyGems, Conan, Clojars e GitHub Actions.
Ver todas as integraçõesCada identificador SPDX mapeia para uma de quatro categorias. Permissive, Weak Copyleft, Strong Copyleft ou Unknown. Com base numa classificação incorporada que cobre mais de 100 licenças. As organizações podem sobrepor qualquer classificação para corresponder à sua política legal; os overrides aplicam-se imediatamente a cada projeto da organização.
O pacote aterra no balde Unknown. A partir do resumo de licenças podes abrir o pacote e atribuir o identificador SPDX correto manualmente; o pacote recategoriza-se em seguida e alimenta os contadores certos no resumo. As licenças Unknown aparecem em primeiro lugar no dashboard para não se acumularem em silêncio.
Não. A extração de licenças reutiliza o passo de parse do manifesto que o scan SCA já executa. Não há job separado, sem segunda pipeline, sem janela de scan incremental. Os dados de licença aparecem no mesmo dashboard ao lado dos findings de vulnerabilidades.
Sim. A configuração ao nível da organização aceita entradas personalizadas com uma classificação escolhida (Permissive, Weak Copyleft, Strong Copyleft ou Unknown). Útil para licenças internas ou acordos com fornecedores que não fazem parte de SPDX mas continuam a precisar de ser acompanhados ao lado das licenças open-source.
OR escolhe a opção menos restritiva (`MIT OR GPL-3.0-only` → risco efetivo None). AND escolhe a mais restritiva (`MIT AND GPL-3.0-only` → risco efetivo High). WITH avalia a licença base com a exceção aplicada (`GPL-2.0-only WITH Classpath-exception-2.0` → GPL-2.0 com Classpath exception). O dashboard mostra tanto a expressão em bruto como a categoria resolvida.
Sem cartão de crédito. Sem chamada de setup. Escolhe o agente, cola o comando e o Cybe aplica as tuas regras a partir do próximo prompt.
claude mcp add cybedefend --transport http https://mcp-eu.cybedefend.com/mcpMCP alojado, sem instalação. Basta registar o URL no teu agente.