Como o GitHub mantém a conformidade de suas dependências open source

O GitHub mantém a conformidade de suas dependências open source com uma combinação de política centralizada, automação nativa e atuação do Open Source Program Office (OSPO). Desde 2026, o OSPO usa oficialmente o recurso GitHub License Compliance, disponível para clientes do GitHub Advanced Security (GHAS), como substituto das ferramentas internas anteriores. O sistema opera via rulesets que aplicam políticas de licenças em nível organizacional, usando identificadores SPDX, e dispara varreduras automaticamente em pull requests que alteram dependências, analisando tanto dependências diretas quanto transitivas no grafo de dependências.

O modo de operação inicial foi o "Evaluate", que gera alertas sem bloquear merges, permitindo adoção gradual e validação cruzada com as ferramentas antigas. Hoje, o modo "Active" é usado em repositórios críticos, impedindo a mesclagem de pacotes com licenças não autorizadas ou sem exceção explícita. Exceções podem ser concedidas por pacote (com suporte a wildcards como @github-ui/*) ou por licença, em escopo empresarial ou por repositório, o que permite flexibilidade para casos como softwares comerciais licenciados por equipe específica.

Essa abordagem evita riscos jurídicos reais: usar uma dependência sob licença GPL-3.0 em um produto fechado, por exemplo, pode exigir divulgação do código-fonte proprietário. Para empresas que distribuem software comercial, isso representa exposição a litígios e danos reputacionais. A detecção precoce na PR reduz drasticamente o custo de correção, remover uma dependência problemática após o deploy exige refatoração, testes e revisão legal, enquanto na fase de contribuição é uma decisão técnica imediata. Além disso, o uso de SPDX como padrão garante compatibilidade com outras ferramentas de SBOM e compliance, como Syft, Trivy e FOSSA.

Para desenvolvedores, o fluxo se tornou visível mas não intrusivo: alertas aparecem diretamente na pull request com links para a licença, o pacote e o contexto da violação. Não há necessidade de rodar ferramentas externas nem consultar planilhas, tudo está integrado ao ciclo de CI/CD. Se o desenvolvedor considera a dependência essencial, ele abre uma solicitação de exceção com um clique; o time de política do OSPO responde em média em menos de duas horas, graças à notificação por e-mail e dashboard de backlog. Isso transforma uma tarefa jurídica em um passo colaborativo dentro do fluxo de engenharia, sem desacelerar entregas nem comprometer a governança.