peintangos/license
skills/audit/license/SKILL.md
OSS リポジトリのメインライセンスを特定し、商用利用制約・依存互換性・NG ライセンスの検出までを行うスキル。ライセンス監査を実行するときに読み込む。
tools
Updated Apr 16, 2026
$ install --global
skillsauthnpx skillsauth add peintangos/deep-agents-example licenseInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 16, 2026, 4:29 PM5.4s1 file scanned
SKILL.md
- name:
- license
- description:
- OSS リポジトリのメインライセンスを特定し、商用利用制約・依存互換性・NG ライセンスの検出までを行うスキル。ライセンス監査を実行するときに読み込む。
- allowed-tools:
- fetch_github, read_file, write_file
ライセンス監査スキル
このスキルを使うタイミング
license-analyzerサブエージェントが対象 OSS のメインライセンスを確定させるとき- 特殊ライセンス (Elastic License 2.0 / SSPL / BSL) が疑われるとき
- 依存関係に copyleft (GPL 系) ライセンスが混入していないか確認するとき
一次情報の優先順位
- GitHub リポジトリメタデータ:
fetch_github(owner, repo)→license.spdx_idが最優先 - リポジトリ直下の
LICENSE/LICENSE.md: SPDX ID で判別できない場合の根拠文 package.jsonのlicenseフィールド: npm パッケージとして公開されている場合の secondary- README の "License" セクション: 最終手段 (本文のみで一次情報と呼べないケースもある)
推測禁止: 上記のいずれにも書かれていない場合は spdx_id: "unknown" と明示する。LICENSE ファイルの本文から LLM が勝手に SPDX を当てるのは避ける (誤判定のコストが高い)。
商用利用制約の判定基準
| ライセンス | commercial_use | 備考 |
|---|---|---|
| MIT / Apache-2.0 / BSD-* / ISC / MPL-2.0 | allowed | 一般的な permissive |
| LGPL-* | allowed | ただし動的リンクが条件 |
| GPL-* / AGPL-* | restricted | コピーレフトが波及。SaaS 提供で AGPL はほぼ致命 |
| Elastic-2.0 / BSL-1.1 / SSPL-1.0 | restricted | SaaS 再配布に制約あり。compatibility_concerns に明記必須 |
| 独自ライセンス / CC 系 | unknown | 法務レビューが必要なので勝手に allowed と書かない |
NG 例 (ハマりやすいミス)
- BSL を
allowedと判定する: BSL は Change Date を迎えるまで一部用途が禁止される。Change Date 付きは必ずrestrictedと書き、notesに Change Date を載せる spdx_idとlicense_nameが食い違う:spdx_idは機械可読な識別子、license_nameは人間可読の正式名称。例えば"Apache-2.0"/"Apache License 2.0"のように両方そろえる。片方だけに「Apache License v2」のような揺らぎ表記を入れない- サブライブラリ (依存関係) のライセンスを無視する: メインが MIT でも
package.jsonの dependencies に GPL が混ざっていたらcompatibility_concernsに書く。メイン 1 つだけで判断を終わらせない - LLM による本文の意訳: LICENSE ファイルの本文を要約して
commercial_use: allowedと書くのは禁止。必ず公式の SPDX 定義に当てる
出力契約 (/raw/license/result.json)
{
"spdx_id": "Elastic-2.0",
"license_name": "Elastic License 2.0",
"commercial_use": "restricted",
"compatibility_concerns": [
"SaaS 配布時の再配布制約あり",
"依存ライブラリ foo-lib が GPL-3.0 で再配布制約が連鎖"
],
"notes": "GitHub メタデータ license.spdx_id から取得。LICENSE ファイルで Change Date 2026-01-01 を確認"
}
compatibility_concerns は「実利に影響する点だけ」を箇条書きにする。汎用的な注意事項 (コピーレフトは波及します等) は入れない — 対象 OSS 固有の事実だけ。
Related Skills
peintangos/zenn-style
data-ai
VerifiedTrustedCommunity
監査レポートを Zenn 技術記事向けの文体 (だ/である調 + 比較表 + 階層化された見出し) に整えるスキル。`src/reporter.ts` の骨組みを LLM が整形してレポート (`out/*.md`) を仕上げるときに読み込む。
SKILL.mdUpdated Apr 16, 2026
peintangos/security
testing
VerifiedTrustedCommunity
OSS リポジトリの既知脆弱性 (OSV / GHSA) を照合し、重大度と影響範囲を分類するスキル。セキュリティ監査を実行するときに読み込む。
SKILL.mdUpdated Apr 16, 2026
peintangos/maintenance
data-ai
VerifiedTrustedCommunity
OSS リポジトリのメンテナンス健全性 (リリース頻度・Issue 対応速度・放置 PR) を定量的に評価するスキル。メンテナンス監査を実行するときに読み込む。
SKILL.mdUpdated Apr 16, 2026
peintangos/community
tools
VerifiedTrustedCommunity
OSS リポジトリのコミュニティ採用状況 (star / contributor 分散 / 依存 downstream) を測定するスキル。コミュニティ採用監査を実行するときに読み込む。
SKILL.mdUpdated Apr 16, 2026