Das Finden der Lizenzen von JAR-Bibliotheken aus
-
29-09-2019 - |
Frage
ich Maven verwenden, um meine Web-App-Projekte zu bauen, wenn ich einige abhängige Bibliothek in die pom-Datei hinzufügen, fügt es wieder ein paar mehr abhängig Gläser für das Projekt rekursiv. Gibt es eine Möglichkeit, um herauszufinden oder zu beschränken, dass nur Gläser eine bestimmte Art von Lizenz, die - sagen Apache License, BSD usw. sollten einbezogen werden. Oder gibt es einen Weg, um herauszufinden, dass eine JAR-Datei unter GPL / ASL ist usw., ohne für jedes Glas in der Anwendung auf die Website zu gehen?
Lösung
Die Maven "Projekt Info Report" Plugin produziert ein Abhängigkeiten Bericht , die die Lizenzen enthält für die Abhängigkeiten. Hier ist ein Beispiel .
Offensichtlich ist dies hängt von den abhängigen POMs die Abhängigkeiten richtig erklärt, und es erfordert, dass Sie Ihre Website-Dokumentation „online“ zu bauen.
Andere Tipps
Während der Erwerb eines Unternehmens arbeitete ich für die übernehmende Gesellschaft verwendet, um die folgende Software / Beratung zu tun, was Sie beschreiben.
http://www.blackducksoftware.com/transact
Obwohl ich vermute, Sie waren auf der Suche wahrscheinlich für eine kostenlose Alternative. Es können auch andere Methoden, aber die Tatsache, diese Firma macht Geld tun dies eine Alternative vorschlägt, ist wahrscheinlich weniger gründlich / genau.
Ich finde auch diese Website ( https://www.versioneye.com ) Lizenzinformationen zur Verfügung stellt. Zum Beispiel https://www.versioneye.com/java/tomcat : Jaspis-runtime / 5.5.23 sagt Lizenz: Apache-Lizenz 2.0
19. Oktober 2017
Ich bin heruntergefahren VersionEye bis Ende dieses Jahres!
begann ich das Projekt rund um ca. 6 Jahren und bisher war es ein Reise mit vielen Höhen und Tiefen. Die typische StartUp-Achterbahn Sache. Ich hob Geld von einem großen VC in Berlin und fast ging in Konkurs danach. Raised Geld wieder von den kleinen Angel Investoren zu verhindern Konkurs. Won eines der größten Software-Unternehmen der Welt als Kunde und ein stabiles Einkommen für das Unternehmen festgelegt.
Eine kostenlose Alternative für eine Lizenz-Scanner ist der „Scancode-Toolkit“. Es ist in der Lage Ihre Codebasis für Copyright-Informationen zu scannen, Lizenztexte etc.
Aber wie @Stephen C in seiner Antwort erwähnte, wird es nicht immer in der Lage sein, um die Lizenz für eine Abhängigkeit zu erkennen.