Использование компонентов с открытым кодом подразумевает ваше молчаливое согласие с положениями лицензионного договора, потому что у каждого компонента открытого кода, у каждого зависимого от него компонента, есть лицензия. И ее условия вы обязаны соблюдать.
Какую лицензию open source вы используете сейчас?
Существует более 200 различных лицензий open source. У каждой лицензии свои условия, некоторые из них копилефтные, GNU GPL, например, и все ваши продукты должны идти под такой же лицензией, некоторые − разрешительные, разрешающие любое использование компонента. Существуют разрешительные лицензии с ограничениями, кроме того, некоторые компоненты могут быть вообще без open source лицензий, тогда к ним применяют положения авторского права. В такой ситуации сложно отслеживать и выполнять лицензионные положения всех ваших компонентов.
При этом отказ от тщательного отслеживания лицензии – рискованное дело, которое может привести к неприятным сюрпризам. В лучшем случае, вам придется менять компонент, в худшем – вы подвергаете риску свое исключительно право на ваш собственный код.
Что делать?
Отслеживать проблемы как можно раньше
Представьте себе: вы готовы к релизу продукта, предрелизное сканирование кода выявило проблему с лицензией одного из компонентов. Приходится удалять компонент, возвращать его в список задач, вырывать фрагмент кода, менять его на другой и повторно разрабатывает проект. Но это не самое худшее. Гораздо хуже, если проблема обнаружена после релиза и ваше юридическое подразделение получило иск о нарушении прав.
Много команд разработчиков ПО пытаются отслеживать лицензии подручными средствами. И хотя они могут довольно успешно отслеживать компоненты и их лицензии, при таком подходе зависимости часто остаются неотслеживаемыми, а у них могут совершенно другие лицензии.
WhiteSource полностью автоматизирует этот процесс. Всякий раз, когда в сборку добавляется новый компонент с открытым кодом, решение WhiteSource определяет его лицензию и проверяет все лицензии всех его связанных компонентов.
Чем еще может вам помочь WhiteSource?
Настройте автоматические политики для отбора компонентов
Решение WhiteSource позволяет создавать правила лицензионной политики компании через создание белого списка автоматически одобряемых лицензий, черный список автоматически отклоняемых лицензий и список лицензий, которые требует ручного разрешения. При создании черного списка необходимо выбрать действие при попытке добавить компонент или компонент, у которого есть связанный компонент с такой лицензией: уведомление или отказ. При изменении списков на электронную почту высылается запрос на подтверждение в предустановленной форме, все подтверждения отслеживаются, подписываются и архивируются в системе WhiteSource с последующим доступом к ним.
После настройки политики система будет предупреждать вас о подводных камнях при добавлении компонентов в сборку, и вы сможете принять осознанное решение перед их добавлением.
Решение WhiteSource также автоматизирует процесс лицензирования приложения и создания пользовательской лицензии (EULA), облегчая вам задачу создания продукта, соответствующего всем условиям open source лицензионного соглашения.
Более подробно об автоматизированных политиках см. в статье Политики Open Source ►