如果交付一个使用gradle依赖管理和maven-central的大量开源库的Java应用程序,检查第一级依赖的许可证是否足够(因为它们的依赖关系必须自动与它们的许可证兼容),或者我是否必须检查整个可传递依赖树,看看我是否有任何许可证的问题?
hgb9j2n61#
你应该检查整棵树。因为你在运行时需要传递依赖,所以你会以某种方式将它们打包在一起(war/zip/uber-jar),所以你需要关心它们的许可证。
gijlo24d2#
如果可传递依赖项B在copyleft许可下,那么您的直接依赖项应该荣誉此许可。检查所有的传递依赖关系并不是维护性的,并且很容易破坏你的项目。我相信你有义务遵守你的直接依赖关系的许可证,以及你与他们的直接依赖关系等。
2条答案
按热度按时间hgb9j2n61#
你应该检查整棵树。因为你在运行时需要传递依赖,所以你会以某种方式将它们打包在一起(war/zip/uber-jar),所以你需要关心它们的许可证。
gijlo24d2#
如果可传递依赖项B在copyleft许可下,那么您的直接依赖项应该荣誉此许可。检查所有的传递依赖关系并不是维护性的,并且很容易破坏你的项目。我相信你有义务遵守你的直接依赖关系的许可证,以及你与他们的直接依赖关系等。