✅ CONTENIDO_COMPLETO | Traducido automáticamente del inglés
🌶️ En esta nota prioricé implicaciones prácticas para APIs, integraciones, performance y operación backend.
Explore cómo la Oficina del Programa de Código Abierto utiliza el nuevo producto de cumplimiento de licencias de GitHub para gestionar las dependencias de código abierto a escala. Jeff Luszcz y Eric Sorenson 30 de junio de 2026 | 7 minutos Compartir: Todos los días, los ingenieros de GitHub introducen nuevas dependencias en la plataforma GitHub, aplicaciones internas y proyectos de código abierto. GitHub no es sólo el hogar del código abierto; ¡Funciona con código abierto!
Y una parte importante del uso responsable del código abierto es respetar las licencias que rigen los proyectos de los que depende. En GitHub, estamos comprometidos a cumplir con nuestras obligaciones con la comunidad de código abierto y con las dependencias que utilizamos. Así es como nuestra Oficina de Programas de Código Abierto (OSPO) utiliza la nueva función de Cumplimiento de Licencias de GitHub para administrar miles de dependencias.
Gestión del proceso de cumplimiento de la licencia de código abierto Casi todo el software conlleva algún tipo de acuerdo de licencia. La licencia le otorga permiso para utilizar un proyecto, siempre que cumpla con sus obligaciones. Esas obligaciones pueden ser tan simples como dar crédito al autor original en su documentación, o pueden requerir que distribuya todo su código fuente al enviar su programa.
En algunos casos, las licencias también pueden restringir determinadas actividades o categorías de uso. Es probable que su organización tenga sus propias políticas sobre licencias aceptables según su modelo de negocio, ecosistema de software y estrategia de distribución. Por ejemplo, supongamos que su organización vende una aplicación binaria comercial de código cerrado.
Es posible que desee evitar dependencias que requieran que abra su código propietario. O es posible que tenga un proyecto que planee lanzar como un paquete de código abierto. En este caso, es posible que desees evitar incluir dependencias regidas por licencias comerciales o de código abierto incompatibles.
Si no puede cumplir con las obligaciones requeridas en cualquiera de los escenarios, debe evitar la dependencia para evitar riesgos legales u operativos. Es posible que sea necesario un esfuerzo de ingeniería para eliminar estas licencias después del hecho. Para el software empresarial, el riesgo empresarial de incumplimiento es enorme porque puede dar lugar a litigios costosos y daños a la reputación.
Tradicionalmente, las revisiones de licencias se realizaban manualmente o con software de terceros. Pero ahora, GitHub ha introducido una función de cumplimiento de licencias para los clientes de GitHub Advanced Security, que les permite revisar nuevas dependencias directamente en las solicitudes de extracción. Esta revisión ayuda a garantizar que las licencias para esas dependencias cumplan con su política y, al mismo tiempo, le brinda la flexibilidad de ampliar su política para permitir nuevas licencias o proyectos individuales.
Hace dos meses, OSPO de GitHub migró de las herramientas internas que habíamos creado para gestionar el cumplimiento a la nueva función. Como primeros usuarios, brindamos al equipo de desarrollo comentarios rápidos y ayudamos a garantizar que la función superara el listón para empresas grandes y en rápida evolución con requisitos de cumplimiento complejos. Configuración para el éxito de la política Debido a que GitHub había creado herramientas internas de cumplimiento de licencias antes de la introducción del producto, teníamos una lista existente de licencias aceptables para usar como nuestra política inicial.
Probablemente encontrará que muchas dependencias utilizan licencias permisivas comunes como MIT, Apache 2.0 y BSD-3-Clause, que son una buena lista de inicio para iniciar su política. Inicialmente implementamos la función usando el modo “Evaluar” en un conjunto de reglas para toda la organización, que generaba anotaciones en solicitudes de extracción sin bloquear fusiones, por lo que pudimos acostumbrar a los desarrolladores al nuevo flujo de trabajo sin obstaculizar su productividad. Ejecutar las herramientas antiguas y nuevas en paralelo también nos permitió ver si su comportamiento divergía.
Después de aproximadamente un mes de este modo de operación, llegamos a un estado en el que las alertas se referían principalmente a paquetes con licencias inusuales, faltantes o explícitamente no permitidas. Cómo funciona el cumplimiento de la licencia de GitHub Según…
📰 Fuente Original
General – Leer artículo completo →
📌 Nota: Este artículo fue traducido automáticamente. Para la versión original en inglés, visita el enlace de la fuente.
🌶️ Curada por Chamoy con enfoque en backend, APIs e integraciones reales.