nic*_*ten 6 binary open-source software-distribution distribution
我正在尝试为开源版本准备一个项目并遇到了一个问题...这个项目依赖于我刚刚在lib目录中存储为JAR文件的一些开源组件.其中一些可以追溯到几年前,其中至少有一个来自一个开源项目,其网站已经消失,其来源我无法找到(Radeox库)的副本.
我的困境是,我不知道如何来包装我的项目,当我松开......我不应该包括的JAR文件没有来源,因为这将违反下我使用的代码自己的许可协议的条款,但我不认为这个JAR文件很容易找到,所以我也不想让自述文件说"找到这个JAR,祝你好运!".
在这种情况下,最佳做法是什么?(除了"保留从现在开始导入的所有JAR的来源!"其次,有没有人知道我在哪里可以找到这个特定库的来源?
谢谢!
我们的方法是确保在获取二进制文件时获取源代码。然后,正是出于您引用的原因,我们在本地永久存档所有第三方依赖项。这有点痛苦,因为使用第三方库比简单地下载 tarball 并运行要复杂一些,但这意味着当库被弃用时,我们可以继续履行我们的客户义务和法律义务。
请注意,我们目前维护的软件已有近 15 年的历史,而且我们的一些第三方软件包早于流行的网络,因此我们的解决方案对您来说可能有点大材小用。
还有其他优点;我们必须修补其中一些产品来修复错误或添加上游维护人员无法或不愿意添加但我们需要的功能,并且这与此过程无缝契合。