OSV-Scanner许可证覆盖配置与统计不一致问题解析

问题背景

在使用OSV-Scanner进行开源许可证扫描时，用户发现了一个关于许可证覆盖配置与最终统计结果不一致的问题。具体表现为：当用户通过配置文件(osv.toml)对特定软件包的许可证进行覆盖设置后，虽然许可证违规检查能够正确识别覆盖后的许可证，但最终的许可证统计摘要(License Summary)却未能正确反映这些覆盖设置。

问题现象

用户在使用OSV-Scanner 2.0.0版本时，配置了如下的许可证覆盖设置：

[[PackageOverrides]]
ecosystem="PyPI"
name= "isodate"
license.override = ["BSD-3-Clause"]

然后执行扫描命令：

osv-scanner -r --format=json --licenses="UNKNOWN,BSD-3-Clause" --config=./osv.toml .

虽然扫描日志显示许可证覆盖已成功应用，但在生成的JSON报告中，许可证统计摘要部分仍然将isodate包计入"UNKNOWN"许可证的统计数量中，而不是预期的"BSD-3-Clause"。

技术分析

这个问题涉及OSV-Scanner内部处理流程的两个不同阶段：

1. 许可证违规检查阶段：能够正确识别并应用配置文件中的许可证覆盖设置，因此许可证违规检查结果会正确反映覆盖后的许可证状态。

2. 许可证统计摘要阶段：在生成统计摘要时，系统未能正确引用许可证覆盖配置，仍然使用原始数据源(如deps.dev)提供的许可证信息进行统计。

这种不一致性会导致用户虽然通过配置解决了许可证违规问题，但在查看整体许可证分布时仍然看到不准确的数据，特别是当项目中有大量需要许可证覆盖的依赖包时，这种统计偏差会更加明显。

解决方案

项目维护者已经确认并修复了这个问题。修复的核心思路是确保许可证统计摘要阶段同样能够正确引用许可证覆盖配置，使统计结果与实际的许可证状态保持一致。

修复后的版本将确保：

1. 许可证覆盖配置在所有处理阶段都被一致应用
2. 最终报告中的许可证统计摘要准确反映实际使用的许可证状态
3. 用户配置的优先级高于原始数据源的许可证信息

最佳实践建议

对于需要使用许可证覆盖配置的用户，建议：

1. 始终检查最终报告中的许可证统计摘要，确认其与预期一致
2. 对于大型项目，可以分批验证许可证覆盖配置的效果
3. 关注OSV-Scanner的版本更新，及时升级到修复此问题的版本

这个问题提醒我们，在使用自动化工具进行许可证管理时，需要全面验证各个功能模块的行为一致性，特别是当使用高级配置功能时，确保所有相关输出都正确反映了配置变更。