如何处理死开源依赖?
发布时间:2020-12-13 20:42:13 所属栏目:百科 来源:网络整理
导读:我正在尝试为开源版本准备一个项目并遇到了一个问题…这个项目依赖于我刚刚在lib目录中存储为JAR文件的一些开源组件.其中一些可以追溯到几年前,其中至少有一个来自一个开源项目,其网站已经消失,其来源我无法找到(Radeox库)的副本. 我的困境是,当我发布它时,
|
我正在尝试为开源版本准备一个项目并遇到了一个问题…这个项目依赖于我刚刚在lib目录中存储为JAR文件的一些开源组件.其中一些可以追溯到几年前,其中至少有一个来自一个开源项目,其网站已经消失,其来源我无法找到(Radeox库)的副本.
我的困境是,当我发布它时,我不知道如何打包我的项目…我不应该包含没有源代码的JAR文件,因为这会违反我自己使用代码的许可条款,但是我不认为这个JAR文件很容易找到,所以我也不想让自述文件说“找到这个JAR,祝你好运!”. 在这种情况下,最佳做法是什么? (除了“保留从现在开始导入的所有JAR的来源!”其次,有没有人知道我在哪里可以找到这个特定库的来源? 谢谢!
我们的方法是确保在获取二进制文件时获取源.然后,正是由于您引用的原因,我们会在本地永久存档所有第三方依赖项.这有点痛苦,因为使用第三方库比简单地下载tarball要复杂得多,但这意味着当库被弃用时,我们可以继续履行我们的客户义务和我们的合法库.
请注意,我们目前维护的软件已有近15年的历史,而且我们的一些第三方软件包早于流行的网络,因此我们的解决方案可能对您来说太过分了. 还有其他优点;我们必须修补其中一些产品来修复错误或添加上游维护者无法或不愿意添加的功能,但我们需要这些功能,并且无缝地适应此过程. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |