【腾讯云代码分析】License检测规则介绍

官网地址：（点击最下方【阅读原文】可直达）https://tca.tencent.com/

官网介绍：https://cloud.tencent.com/product/tcap 官方开源：https://github.com/Tencent/CodeAnalysis 国内镜像：https://git.code.tencent.com/Tencent_Open_Source/CodeAnalysis

工具介绍

▼

用于检测代码库中的License文本。

背景：

1. 某些第三方库使用的License可能只支持商用或不可分发
2. 第三方库License与当前仓库的License冲突

TCA目前有三个工具支持检测License：TCA-Armory-R、RegexScan、LicenseClassifier

规则介绍

▼

1. TCA-Armory-R、RegexScan：通过正则匹配License关键字

• AllFileLicenseCheck：检测多个常见license的关键字，比如Apache和MIT等
• LGPLicenseChecker：查找文件中的LGPL协议
• GPLLicenseCheck：检测开源协议
• ……

2. LicenseClassifier：通过文本匹配License文本，根据风险区分严重性

• critical-risk：严重风险-禁止使用的许可证，如CC-BY-NC-1.0、AGPL-1.0等
• high-risk：高风险-受限制的许可证，如CC-BY-ND-1.0、GPL-1.0等
• medium-risk：中风险-互惠的许可证，如APSL-1.0、MPL-1.0等
• low-risk：低风险-极少限制的许可证，如Apache-1.0、MIT等
• unknown-risk：未知风险-建议检查这些未知的许可证

规则使用说明

▼

进入页面，点击方案->规则配置 -> 自定义规则包-> 添加规则 ->搜索规则名/筛选所属工具->选择需要添加的规则 ->批量添加规则

规则包使用说明

▼

TCA 集合了多个License检测规则至一个规则包中，供所有用户使用：【全语种】license分析规则包——分析代码库中包含的License，并根据风险区分严重级别。

进入页面，点击方案->规则配置 -> 选择需要添加的规则包打开