Interface de notification GitHub indiquant une expression de licence non conforme sur le paquet sidekiq.

Gouvernance du code : l’automatisation des licences open source arrive nativement sur GitHub

Gérer la conformité des licences open source sans sortir de GitHub, c’est désormais possible. La plateforme a lancé cette semaine un outil natif (en préversion publique) pour filtrer et bloquer automatiquement les dépendances non conformes dans les pull requests. Fini le casse-tête juridique de la supply chain logicielle.

La vérification juridique des licences open source restait souvent un processus fastidieux déporté sur des outils tiers. GitHub simplifie le processus en lançant une nouvelle fonctionnalité de conformité native en préversion publique. Intégré directement aux processus de développement, cet outil permet aux entreprises de filtrer et de bloquer automatiquement les dépendances non approuvées avant leur intégration en production.

Un contrôle automatisé au cœur des pull requests

Ce dispositif s’active via les règles de protection des branches logicielles (rulesets). Dès qu’un développeur soumet une pull request (PR) modifiant un manifeste de paquets, la plateforme compare les dépendances et évalue leur niveau de conformité. L’analyse s’appuie sur une politique centralisée basée sur les identifiants de licences SPDX ou des listes personnalisées, scrutant aussi bien les dépendances directes que transitives.

En cas d’anomalie, l’outil annote directement le code au sein de la PR. Deux modes d’exécution sont proposés pour s’adapter à la politique de l’entreprise :

  • Le mode Évaluation : il se contente de signaler les alertes et d’ajouter des annotations pédagogiques sans interrompre le travail des équipes.

  • Le mode Actif : il bloque strictement la fusion (merge) du code tant que la violation n’est pas résolue ou qu’une exception n’est pas validée.

Une gouvernance centralisée pour évincer les outils tiers

Pour fluidifier la gestion de ces blocages, GitHub introduit le rôle dédié d’Enterprise Open Source License Manager. Les titulaires de ce profil reçoivent des notifications et peuvent accorder des dérogations directement depuis la console d’administration de l’entreprise. Cette approche permet de définir des règles globales à l’échelle de l’organisation tout en tolérant des ajustements fins par dépôt de code.

Cette intégration native marque un tournant pour la gestion des risques juridiques. Jusqu’alors, les équipes de sécurité devaient s’appuyer sur des solutions externes comme Black Duck ou FOSSology, ou configurer des scripts personnalisés via les GitHub Actions. En rapatriant cette brique directement dans l’interface de révision du code, la plateforme réduit la friction opérationnelle. Le propre bureau des programmes open source (OSPO) de GitHub utilise d’ailleurs déjà cet outil pour automatiser la conformité de ses milliers de paquets.

Disponibilité

Pour les entreprises intéressées, la fonctionnalité est accessible dès à présent pour les clients de GitHub Enterprise Cloud disposant d’une licence Advanced Security.

L’éditeur détaille l’ensemble du paramétrage dans sa documentation officielle en français, et invite la communauté technique à faire remonter ses retours d’expérience au sein de la GitHub Community.

🦋 L’actualité de l’open source en français dans votre flux. Suivez Goodtech sur Bluesky (ou vos applications AT Protocol comme W Social et Mu) grâce à notre compte officiel. Suivez, partagez, abonnez-vous à @goodtech.info !

Retour en haut