피드로 돌아가기
How GitHub maintains compliance for open source dependencies
GitHub BlogGitHub Blog
Security

PR 단계의 License Compliance 자동화로 법적 리스크 원천 차단

How GitHub maintains compliance for open source dependencies

Natalie Guevara2026년 6월 30일7intermediate

Context

수천 개의 오픈소스 의존성을 사용하는 대규모 환경에서 수동 검토 및 내부 도구 기반의 라이선스 관리 방식 채택. 라이선스 위반 시 발생하는 고비용의 코드 재작성 및 법적 분쟁 리스크를 해결하기 위한 자동화된 거버넌스 체계 필요.

Technical Solution

  • Ruleset 기반의 자동 스캔 아키텍처를 통한 Pull Request 단계의 의존성 라이선스 실시간 검증
  • Evaluate 모드 도입으로 개발 생산성 저해 없이 기존 툴과 병렬 운영하며 정책 정밀도 검증
  • Custom Property를 활용하여 리포지토리별로 Active 및 Evaluate 모드를 유연하게 제어하는 구조 설계
  • Direct 및 Transitive Dependency를 모두 분석하여 정책 위반 시 PR에 직접 Alert를 생성하는 피드백 루프 구축
  • Exception Request 프로세스를 통한 정책 예외 처리 및 Enterprise/Repository 단위의 스코프 관리 체계 구현

- 라이선스 정책 도입 초기 단계에서 Evaluate 모드를 통해 개발자 경험(DX) 저해 방지 및 오탐지 제거 - 직접 의존성뿐만 아니라 Transitive Dependency까지 포함한 전수 조사 체계 구축 - 정책 승인 프로세스에 SLA를 설정하여 개발 병목 현상을 최소화하는 운영 모델 수립 - 단순 차단이 아닌 Exception Request 경로를 설계하여 비즈니스 요구사항에 따른 유연한 대응 가능 구조 확보

원문 읽기