架构师必备：使用开源协议的注意事项与实践指南

2023-07-11 13:49:52 来源：哔哩哔哩

大家好，今天小米要和大家分享的是关于项目上源码开源协议的问题。最近在我们的一个项目中，客户要求对我们的源码版权进行扫描，让我感到有些困惑。作为一个项目开发者，这是我第一次遇到开发的代码需要考虑引用三方类库是否支持商业使用的问题。

常见的版权协议

在我们的电商源码中，我们使用了以下协议：

Apache License ：Apache License是对商业应用非常友好的许可协议。使用者可以根据需要修改代码，并将其作为开源或商业产品发布和销售。

(资料图片)

BSD开源协议（Berkerley Software Distribution）：商业软件可以使用，并可以修改使用BSD协议的代码。

LGPL (GNU Library or “Lesser” General Public License)：商业软件可以使用，但不能修改LGPL协议的代码。

MIT (MIT license)：商业软件可以使用，并可以修改MIT协议的代码，甚至可以出售MIT协议的代码。

MPL (Mozilla Public License )：商业软件可以使用，并可以修改MPL协议的代码，但修改后的代码版权归软件的发起者所有。

CDDL (Common Development and Distribution License)：商业软件可以使用，并可以修改CDDL协议的代码。

EPL (Eclipse Public License )：商业软件可以使用，并可以修改EPL协议的代码，但使用者需要承担代码产生的侵权责任。

CC0（Public Domain）：“CC0”的全称为“Creative Commons Zero”，是一种开放授权协议，旨在允许原作者放弃对其作品的所有版权和邻接权利，使之成为公有领域的一部分。可以自由地使用、共享和修改该作品，甚至可以用于商业用途，无需经过原作者的许可或支付费用。

GPL (GNU General Public License)：GNU GPL是最广泛应用的开源协议之一，由自由软件基金会（FSF）制定。该协议规定了软件的使用、复制、修改、分发等方面的规则，要求将使用、修改后的软件同样以GPL协议开源，并保留原作者的版权信息。因此，使用GNU GPL协议的软件必须也是开源的，并且不能将其用于商业用途。GPL家族下的其他协议，如AGPL等同样不能商用。

除此之外，还有一些类库遵守MIT协议、Bouncy Castle等。

综上所述，MIT License、Apache License和BSD License都是可以用于商业用途的开源协议，而GNU、GPL和其他未知协议则不允许将其用于商业用途。

经过使用"license-maven-plugin"进行扫描，我们发现至少有13个服务含有不可商用协议，大致内容如下所示。

对于这些问题，我们采取了以下措施来进行处理。

Maven Dependency Helper

首先，根据扫描结果中的版权扫描链接，我们针对不可商用协议进行了修改。然后，在IDEA中的插件中找到一个叫做"Maven Dependency Helper"的工具，将其安装到本地，并点击需要修改的微服务的pom文件。在pom文件的左下角，我们可以看到一个名为"Dependency Analyzer"的按钮。

点击该按钮后，会展示所有的三方类库依赖，以树状图的形式呈现。这样我们可以更好地找到非商用的类库。

接下来，我们选择"All Dependencies as Tree"，这样所有的依赖关系会以树状图的形式展示，方便我们找到有问题的类库。我们在输入框中输入有问题的类库名称，并点击右侧的"Filter"按钮，这样就可以找到有问题的类库。