Chapter 4: ライセンス分析
ライセンスリスクを自動分類
ライセンスとは
ソフトウェアライセンスとは、そのソフトウェアをどのように使ってよいかを定めたルール(使用許諾条件)のことです。外部のライブラリを自分のプロジェクトに組み込んで使う場合、そのライブラリのライセンス条件を守る必要があります。
たとえば、あるライセンスでは「商用利用禁止」「ソースコードの公開義務」などの制約がある場合があります。こうした条件を知らずに使うと、法的なリスクが発生する可能性があります。
Dependa は依存ライブラリのライセンスを自動的に特定し、リスクの度合いに応じて分類してくれます。
4 段階のライセンス分類
Dependa は SPDX ID(ライセンスの国際標準識別子)をもとに、各ライセンスを以下の 4 段階に分類します。
| 分類 | 意味 | 代表的なライセンス |
|---|---|---|
| Approved | 商用利用を含め、一般的に安全に利用できるライセンスです。 | MIT, Apache-2.0, BSD-2-Clause, BSD-3-Clause, ISC |
| Caution | 利用は可能ですが、条件(ソースコード公開義務など)に注意が必要です。 | LGPL-2.1, LGPL-3.0, MPL-2.0, EPL-2.0 |
| Prohibited | 商用利用の制限や強いコピーレフト条件があり、組み込みは推奨されません。 | GPL-3.0, AGPL-3.0, CC-BY-NC-4.0, SSPL-1.0 |
| Unknown | ライセンスを特定できなかったパッケージです。手動確認を推奨します。 | (ライセンス情報なし) |
分類は一般的な判断基準に基づいています。組織の法務方針によっては、異なる判断が必要な場合があります。
オンラインライセンス補完(PyPI API)PRO
Pro プランでは、依存定義ファイルだけではライセンスが特定できない場合に、PyPI API を使ってライセンス情報を補完します。
- ローカルのファイルにライセンス情報がないパッケージに対して自動的に問い合わせます。
- Unknown の数を減らし、より正確な分析結果を得られます。
- 設定画面の「オンラインライセンス補完」を ON にすると有効になります。
ポリシー判定ルール
Dependa はライセンス分類に基づき、自動的にポリシー判定を行います。
FAIL になる条件: Prohibited に分類されるライセンスが 1 件でも検出された場合、ポリシー判定は FAIL となります。
Caution のライセンスがある場合は PASS となりますが、利用条件を確認した上での使用を推奨します。
Chapter 4: License Analysis
Automatically classify license risks
What Are Licenses?
A software license defines the rules (terms and conditions) governing how software may be used. When you incorporate external libraries into your project, you must comply with each library's license terms.
For example, some licenses may include restrictions such as "no commercial use" or "source code disclosure required." Using libraries without being aware of these conditions can create legal risks.
Dependa automatically identifies the licenses of your dependency libraries and classifies them by risk level.
Four-Level License Classification
Dependa classifies each license into one of four levels based on SPDX IDs (international standard license identifiers).
| Classification | Meaning | Example Licenses |
|---|---|---|
| Approved | Generally safe for use, including commercial use. | MIT, Apache-2.0, BSD-2-Clause, BSD-3-Clause, ISC |
| Caution | Can be used, but conditions (such as source code disclosure) require attention. | LGPL-2.1, LGPL-3.0, MPL-2.0, EPL-2.0 |
| Prohibited | Has commercial use restrictions or strong copyleft conditions. Not recommended for inclusion. | GPL-3.0, AGPL-3.0, CC-BY-NC-4.0, SSPL-1.0 |
| Unknown | License could not be identified. Manual verification is recommended. | (No license information) |
Classifications are based on general criteria. Your organization's legal policies may require different assessments.
Online License Lookup (PyPI API) PRO
With the Pro plan, when license information cannot be determined from dependency files alone, the PyPI API is used to supplement license data.
- Automatically queries packages that have no license information in local files.
- Reduces the number of Unknown results for more accurate analysis.
- Enable "Online License Lookup" in the Settings screen to activate.
Policy Rules
Dependa automatically evaluates policy based on license classifications.
FAIL condition: If even one Prohibited license is detected, the policy result will be FAIL.
If Caution licenses are present, the result is still PASS. However, reviewing the specific license terms before use is recommended.