Выявление лицензий на библиотеки JAR
Я использую Maven для создания своих проектов веб-приложений, когда я добавляю некоторую зависимую библиотеку в файл pom, он снова рекурсивно добавляет еще несколько зависимых jar-файлов в проект. Есть ли способ узнать или ограничить включение только jar-файлов, имеющих определенный тип лицензии - скажем, Apache License, BSD и т. Д. Или есть способ узнать, что файл jar находится под GPL / ASL и т. Д., Не заходя на веб-сайт для каждого файла jar в приложении?
2 ответа
Подключаемый модуль Maven «Project Info Reports» создает отчет Зависимости , который включает Лицензии для зависимостей. Вот пример .
Очевидно, это зависит от того, правильно ли зависимые POM объявляют свои зависимости, и для этого необходимо, чтобы вы создавали документацию по сайту «в интерактивном режиме».
Во время приобретения компании, в которой я работал, приобретающая компания использовала следующее программное обеспечение / консультационные услуги, чтобы сделать то, что вы описываете.
http://www.blackducksoftware.com/transact
Хотя я предполагаю, что вы, вероятно, искали бесплатную альтернативу. Могут быть и другие методы, но тот факт, что эта компания зарабатывает на этом деньги, предполагает, что альтернатива, вероятно, менее тщательна / точна.