Scoprire le licenze delle librerie JAR
-
29-09-2019 - |
Domanda
Io uso Maven per costruire i miei progetti web app, quando aggiungo qualche libreria dipendente al file POM, aggiunge ancora alcuni vasi più dipendenti al progetto in modo ricorsivo. C'è un modo per scoprire o limitare che solo i vasi di avere un certo tipo di licenza - dicono licenza Apache, BSD, ecc dovrebbe essere inclusa. O c'è un modo per scoprire che un file jar è sotto licenza GPL / ASL ecc senza andare al sito web per ogni barattolo nell'applicazione?
Soluzione
"Progetto Info Reports" plug produce un dipendenze rapporto che include le licenze per le dipendenze. Ecco un esempio .
Ovviamente, questo dipende dalle POM dipendenti che dichiarano le loro dipendenze correttamente, e richiede che si costruisce la documentazione sito "on line".
Altri suggerimenti
Durante l'acquisizione di una società stavo lavorando per la società acquirente ha utilizzato il seguente software / consulenza per fare quello che stai descrivendo.
http://www.blackducksoftware.com/transact
Anche se sto cercando di indovinare si erano probabilmente alla ricerca di un'alternativa libera. Ci possono essere altri metodi, ma il fatto questa azienda fa i soldi facendo questo suggerisce un'alternativa è probabilmente meno accurato / preciso.
Inoltre ho trovato questo sito web ( https://www.versioneye.com ) fornisce informazioni di licenza. Per esempio, https://www.versioneye.com/java/tomcat : Jasper-runtime / 5.5.23 dice Licenza: Apache License 2.0
19 ottobre 2017
Sto chiudendo VersionEye entro la fine di questo anno!
Ho iniziato il round progetto di circa 6 anni fa e finora è stato un cammino con molti alti e bassi. Il tipico rollercoaster StartUp cosa. Ho sollevato denaro da una grande VC a Berlino e quasi andato in bancarotta dopo di che. Cresciuto denaro ancora una volta dai piccoli Angel Investors per prevenire fallimento. Ha vinto una delle più grandi aziende produttrici di software in tutto il mondo come clienti e ha stabilito un reddito stabile per l'azienda.
Un'alternativa gratuita per uno scanner di licenza è il "scancode-toolkit". E 'in grado di eseguire la scansione del codice di base per le informazioni sul copyright, i testi di licenza ecc.
Ma come @Stephen C menzionato nella sua risposta, non sarà sempre in grado di rilevare la licenza per una dipendenza.