# Лицензии и OSS

## Метаданные

- Документ ID: `REG-ORG-003`
- Версия: `0.1.1`
- Ответственный: `ООО "Аросса"`
- Статус: `Готово`

## 1. Политика лицензирования платформы

- Лицензионная модель продукта: `проприетарная договорная модель для ПО "Зеленый робот" и комплексная договорная поставка для ПАК "IOOT PRO"`.
- Ограничения использования: `декомпиляция, несанкционированное тиражирование и передача третьим лицам вне условий договора не допускаются`.
- Условия обновления и поддержки: `обновления и сопровождение выполняются по сервисному соглашению; релизы фиксируются в журнале изменений`.

## 2. Реестр внешних компонентов

| Компонент | Версия | Лицензия | Использование | Ограничения |
|---|---|---|---|---|
| `Go` | `1.22` | `BSD-3-Clause` | `backend runtime и сервисные компоненты` | `сохранение лицензии и атрибуции в поставке` |
| `gorilla/mux` | `1.8.1` | `BSD-3-Clause` | `маршрутизация backend API` | `сохранение лицензии в составе поставки` |
| `gorilla/websocket` | `1.5.3` | `BSD-2-Clause` | `realtime/WebSocket каналы` | `сохранение лицензионного уведомления` |
| `Vue` | `3.4.21` | `MIT` | `frontend web-интерфейс` | `сохранение текста лицензии` |
| `Vite` | `5.2.9` | `MIT` | `frontend сборка и dev-runtime` | `сохранение текста лицензии` |
| `qrcode` | `1.5.4` | `MIT` | `поддержка passkey/QR сценариев` | `сохранение текста лицензии` |
| `CANopenNode` | `third_party snapshot` | `Apache-2.0` | `embedded CANopen стек в AT32 firmware` | `включение Apache-уведомления в релизный пакет` |
| `AT32 CMSIS/USB middleware` | `third_party snapshot` | `vendor copyright notice` | `firmware для AT32F415` | `сохранение в составе firmware-источников и поставочной документации` |
| `PostgreSQL` | `стендовый runtime` | `PostgreSQL License` | `хранилище данных` | `сохранение лицензионного уведомления` |

## 3. Проверка совместимости лицензий

- Источники проверки: `EV-021` (frontend package.json), `EV-022` (backend go.mod), `EV-023` (embedded third_party tree).
- Результат проверки: `для прямых и явно включенных third-party компонентов критических конфликтов лицензий не выявлено`.
- Ограничение проверки: `транзитивные npm-зависимости учитываются по package-lock, но отдельный SBOM в текущем релизном комплекте не сформирован`.
- Релизное правило: `перед внешней поставкой выпускаются NOTICE/SBOM, а ссылки на них добавляются в EV-реестр отдельными записями`.