检查 licenses/notice 合规性 #6
Description
- 对比 release-1.2.0 和 release-1.0.0 分支,known-dependencies.txt 文件的差异,找出新增和删除的依赖。(版本变更不属于新增或删除,可以跳过)
- 对于新增的依赖要做以下操作新增 license/notice,被删除的依赖则删除 license/notice。
- 找到第三方依赖的仓库,将依赖的
license文件放到 ./hugegraph-server/hugegraph-dist/release-docs/licenses/ 路径下。 - 在./hugegraph-dist/release-docs/LICENSE 中声明该依赖的
LICENSE信息。 - 找到仓库里的 NOTICE 文件,将其追加到 ./hugegraph-server/hugegraph-dist/release-docs/NOTICE 文件后面(如果没有NOTICE文件则跳过这一步)。
- 找到第三方依赖的仓库,将依赖的
例如:在项目中引入了第三方新依赖 -> ant-1.9.1.jar
- 项目源码位于:https://github.com/apache/ant/tree/rel/1.9.1
- LICENSE 文件:https://github.com/apache/ant/blob/rel/1.9.1/LICENSE
- NOTICE 文件:https://github.com/apache/ant/blob/rel/1.9.1/NOTICE
ant-1.9.1.jar` 的 license 信息需要在 LICENSE 文件中指定,notice 信息需要在 NOTICE 文件中指定。 ant-1.9.1.jar 对应的详细 LICENSE 文件需要复制到我们的 licenses/ 目录下。最后更新 known-dependencies.txt 文件。
在此处汇总依赖信息,附上依赖的license/notice链接,不同仓库之间的依赖可能重复,不用重复找。
1. hugegraph
2. hugegraph-toolchain
3. hugegraph-computer
4. hugegraph-commons
4.1. 需要删除 license/notice 的依赖
hk2-api-3.0.1.jar
hk2-locator-3.0.1.jar
hk2-utils-3.0.1.jar
httpclient-4.5.13.jar
httpcore-4.4.13.jar
aopalliance-repackaged-3.0.1.jar
jakarta.annotation-api-2.0.0.jar
jakarta.inject-api-2.0.0.jar
jakarta.ws.rs-api-3.0.0.jar
jakarta.xml.bind-api-4.0.0-RC2.jar
javax.activation-api-1.2.0.jar
jaxb-api-2.3.1.jar
jersey-apache-connector-3.0.3.jar
jersey-client-3.0.3.jar
jersey-common-3.0.3.jar
jersey-entity-filtering-3.0.3.jar
jersey-hk2-3.0.3.jar
jersey-media-json-jackson-3.0.3.jar
osgi-resource-locator-1.0.3.jar
4.2. 需要增加 license/notice 的依赖
kotlin-stdlib-1.6.20.jar
kotlin-stdlib-common-1.5.31.jar
kotlin-stdlib-jdk7-1.6.10.jar
kotlin-stdlib-jdk8-1.6.10.jar
logging-interceptor-4.10.0.jar
lombok-1.18.8.jar
okhttp-4.10.0.jar
okio-jvm-3.0.0.jar