Всем привет,

Вот допустим есть большая компания, которая разрабатывает и продает большой софтверный продукт. Работает над ним много девелоперов и имеет он сложную архитектуру, всякие разные подсистемы и т.п.  Все это дело собирается с помощью Maven (или Ant + IVY).
Естественно используются сторонние библиотеки и немало. И тут возникает опасение, что кто-то подключит к проекту библиотеку с лицензией, скажем GPL (с любой лицензией, чье распространение запрещается без открытия кода или коммерческая, но не купленная). Это не будет во время замечено и продукт уйдет таким к заказчику. В итоге могут быть неприятности. Как отследить и не допустить такую ситуацию? Ручную инспекцию не предлагать.  Как у вас в компании за этим следят?

О, интересная тема! Как раз думал что-то подобное найти  Вот наткнулся на: maven license plugin. 

Это сообщение отредактировал(а) Старовъръ - 11.6.2011, 13:47

я так понимаю, что не для всех зависимостей это будет работать? maven не заставляет указывать эту инфу, она может отсутствовать у многих библиотек. 

Дада, поэтому на 100% на этот плагин надеяться нельзя.

Хм.. что-то я попробовал, и этот плагин на все ругается, что нет информации по лицензиям вообще всех артефактов у меня в проекте  Только несколько библиотек указывают URL, и во всех их он указан неверно. В общем сомнительно, что без этого можно хоть как-то узнать лицензию артефакта кроме как гуглить %

поскольку ответов не много, я делаю вывод, что в подавляющем большинстве проектов об этом либо не задумываются, либо делают проверку "руками"...

Мы свои проекты не распространяем 

Как могут быть неприятности ? Заказчик смотрит в исходники ?

Заказчик может потребовать исходникик проекта и начать самостоятельно распространять продукт 

нашел вот такую штуку: http://wiki.jfrog.org/confluence/display/RTF/License+Control
но платная, и не совсем мне подходящая, хотя кому то будет полезна.

У нас эту проблему "решили" созданием локального репозитория. Подтягивать библиотеки можно только из него, перед добавлением в него у библиотеки проверяют лицензию вручную. В нем очень быстро наработался набор популярных библиотек, так что на типовом проекте редко бывает нужно добавить 1-2.

Об автоматизации говорить не приходится, но все же лучше, чем каждый раз проверять руками.

jk1, а если для тулы, которая будет использована внутри компании понадобится GPL либа как поступите? Репозиторий IVY или Maven у вас кстати? 

Есть практика создания отдельных проектных репозиториев для подобных вещей. Туда также помещаются, например, библиотеки, которые предоставляет заказчик для интеграции с его OSS и прочие специфичные вещи. Надо отметить, что 80% проектов в собственных репозиториях не нужаются и спокойно работают с общего.



IVY

Вообще-то если не распространять GPL derived приложение, то ты никому ничего не должен.

jk1, понятно. Разделение библиотек по репозиториям сойдет для IVY, но для мавен уже нет. Мавену понадобятся плагины и зависимости, которые они тянут. Среди них может быть все что угодно, и следовательно, доступно проекту. 


Все верно, если не распространять. Но GPL библиотеки необходимо хранить в каком-то репозитории, и так, чтобы контролировать их не попадание в проекты которые распространяются.