| sitelink1 | https://scancode-toolkit.readthedocs.io/...rence.html |
|---|---|
| sitelink2 | |
| sitelink3 | |
| sitelink4 | |
| extra_vars5 | |
| extra_vars6 |
* 내용
스캔 중에 라이선스 관련 텍스트가 발견되었지만, ScanCode의 내장 라이선스 데이터베이스(DB)와 매칭되지 않았을 때 붙는 태그
즉, “이건 라이선스 같은데 뭔지 모르겠다”라는 의미
* 발생 원인
- 프로젝트에서 자체 정의한 라이선스 조항
- 오탈자·불완전한 라이선스 텍스트
- SPDX ID가 없는 라이선스(비공식·커스텀 라이선스)
- 오래되었거나 아직 ScanCode DB에 등록되지 않은 오픈소스 라이선스
* 필요한 조치
- 내용 확인 (필수 검토)
- unknown-license-reference 가 표시된 파일의 해당 텍스트를 직접 열어 보고 어떤 라이선스인지 판별해야 합니다.
- 예: See COPYING for details 라고만 적혀 있다면, 실제 COPYING 파일 내용을 확인해야 함.
- 기존 SPDX ID 매핑
- 확인 결과 Apache-2.0, MIT 등 이미 표준 SPDX 라이선스라면 → SBOM에서 Apache-2.0 같은 올바른 SPDX 식별자로 교체.
- 커스텀 라이선스 처리
- 회사 내부에서 작성한 특수 라이선스거나, 공개되지 않은 조건이라면:
- SPDX의 “LicenseRef-xxx” (사용자 정의 라이선스 참조) 형태로 정의.
- 예시1
LicenseID: LicenseRef-MyCustomLib-2024
ExtractedText: <실제 라이선스 텍스트> - 예시2 (spdx json)
"hasExtractedLicensingInfos": [
{
"licenseId": "LicenseRef-Nexacro-N-Public",
"name": "Nexacro N Public License",
"extractedText": "Nexacro N Public License는 TOBESOFT가 Nexacro 제품에 대해 배포하는 독자적인 상용 라이선스입니다. 본 라이선스는 오픈소스 라이선스가 아니며 계약 조건에 따라 사용이 제한됩니다."
}
] - FOSSLight Hub 같은 관리 툴에서는 “신규 라이선스 등록 요청” 프로세스를 거쳐 DB에 추가할 수 있음.
- 재검증 & 재스캔
- ScanCode 라이선스 DB 업데이트 (scancode --license-text … 시 최신 DB 필요)
- 혹은 커뮤니티에 해당 라이선스를 report 해서 추후 버전에 반영되도록 함.
