gradle 我是否必须显式地检查/履行(Java)项目的所有可传递依赖项的许可证?

ie3xauqp  于 2023-10-19  发布在  Java
关注(0)|答案(2)|浏览(112)

如果交付一个使用gradle依赖管理和maven-central的大量开源库的Java应用程序,检查第一级依赖的许可证是否足够(因为它们的依赖关系必须自动与它们的许可证兼容),或者我是否必须检查整个可传递依赖树,看看我是否有任何许可证的问题?

hgb9j2n6

hgb9j2n61#

你应该检查整棵树。因为你在运行时需要传递依赖,所以你会以某种方式将它们打包在一起(war/zip/uber-jar),所以你需要关心它们的许可证。

gijlo24d

gijlo24d2#

如果可传递依赖项B在copyleft许可下,那么您的直接依赖项应该荣誉此许可。检查所有的传递依赖关系并不是维护性的,并且很容易破坏你的项目。我相信你有义务遵守你的直接依赖关系的许可证,以及你与他们的直接依赖关系等。

相关问题