search

Personal-Data-Linkage-Module / pxr-operator-service

MIT License
1 stars 2 forks source link

各コンテナイメージ内で使用されているパッケージのライセンス情報について #20

Closed rio-uhr closed 2 months ago

rio-uhr commented 8 months ago

提供されているパーソナルモジュールのソースコードを基に環境構築をしています。 各コンテナイメージ内で使用されているパッケージのライセンス情報について調査を行ったところ、NPMのライセンス情報が「none」となるパッケージがありました。 パーソナルモジュールの動作に必要なパッケージだと思いますが、ライセンスについて情報はありますでしょうか。 また、ライセンス情報がない場合、ライセンス情報が「none」であるパッケージを使用していることについて、見解をご教授いただけないでしょうか。

【ライセンスがnoneのパッケージ】 ・hj-custom-template-web https://www.npmjs.com/package/hj-custom-template-web

【使用を確認したコンテナ】 hj-custom-template-web ・pxr-access-control-manage-service ・pxr-book-operate-service ・pxr-catalog-service ・pxr-catalog-update-service ・pxr-certification-authority-service ・pxr-ctoken-ledger-service ・pxr-identity-verificate-service ・pxr-local-ctoken-service ・pxr-notification-service ・pxr-operator-service ・add-region-close-target-batch-container ・add-region-end-of-use-target-batch-container ・book-delete-batch-container ・book-end-of-use-batch-container ・close-region-batch-container ・cooperate-region-batch-container ・create-user-batch-container ・delete-user-batch-container ・link-ctoken-batch-container ・output-user-data-file-mng-batch-container ・region-end-of-use-batch-container ・region-term-of-use-notification-batch-containe

rio-uhr commented 7 months ago

上記の対応について、ご状況いかがでしょうか。 お忙しいところ大変申し訳ありませんが、至急、進捗状況と最終回答予定についてご回答お願いします。

rio-uhr commented 3 months ago

上記の対応について、ご状況いかがでしょうか。 node.js v18版がリリースされているかと思いますので、移行することで上記ライセンスの問題が解消されるのかも含めてご回答いただけると幸いです。 ご連絡宜しくお願い致します。

r-saito-cw commented 2 months ago

@rio-uhr すみません、こちらで確認してみたのですが、このパッケージを使用している該当箇所が不明でした。package-lock.jsonにも該当部分がなく、どこのことを指しているのか情報いただけますでしょうか。

rio-uhr commented 2 months ago

@r-saito-cw ファイル内から直接確認できないため、ソフトウェア構成分析ツールを使用し、検出しました。 以下のツールを利用しています。  ■OSS管理&SBOM管理ツール Black Duck| (hitachi-solutions.co.jp)  https://www.hitachi-solutions.co.jp/blackduck/ 検出結果を一部共有させていただきますので、ご確認お願いします。 検出結果(一例).xlsx

r-saito-cw commented 2 months ago

@rio-uhr 情報提供ありがとうございます。 BlackDuckの検出で、errnoモジュール配下のcustom.jsがhj-custom-template-webからの流用ではないかとご指摘だという理解をしました。

頂いた情報のみですと、custom.jsが本当にhj-custom-template-webからの流用であるかは判断がつかないと思います。BlackDuckの誤検出である可能性もありますので、貴殿にてcustom.jsが本当にhj-custom-template-webからの流用であるか確認いただき、そのうえで、errnoの開発元に問い合わせていただくのが良いと考えます。

本回答ののち返答などなく一週間たちましたら、CLOSEいたします。

r-saito-cw commented 2 months ago

一週間経過しましたので、CLOSEいたします。