Czy w Waszych firmach przestrzega sie zapisów licencji dołączonych bibliotek i kawałków kodu? Co robicie jeśli chcecie dorzucić jakaś niestandardową bibliotekę? Mówicie szefowi,czy wrzucacie olewając zapisy licencji?
W zapisie moze być tylko że proszą aby podać nazwę tej użytej biblioteki w jakimś pliku readme, ale może to też być GPL, i wtedy robi się wesoło, bo głupi lub nieuczciwi prochownik jeśli to ukryje a potem ktoś wykorzysta kod wyniesiony z tej firmy.... miał do tego prawo ;)
W firmach w których pracowałam do tej pory były sytuacje że wszystko w porządku, komponenty kupowane lub komponenty darmowe wykorzystane zgodnie z licencją.
Potem dorwał się do rządzenia gościu który nie widział problemu, i zaczęło być wesoło, bo właśnie jeden programista próbował cwaniakować , trzeba mu było patrzeć na ręce (a to nie był mój projekt tylko poboczny na tej samej bazie)
Potem praca w korpo, i tu nawet była specjalna osoba w firmie do sprawdzania licencji, ale kierownik i team leader bardzo zdziwieni byli jak powiedziałam że trzeba to sprawdzać, a ta osoba też traktowała swoje obowiązki dość olewczo. Koderzy (bo programistami ich nie nazwę) jak coś znaleźli w sieci to wrzucali do projektu nikogo nie pytając o pozwolenie.
Naprawdę nie jestem jakąś fanatyczką która nic z chomika nie ściągnie ;) ale co innego projekt komercyjny, więc jak mam do napisania coś co mogłabym zastąpić użyciem jakiejś niestandardowej bibliotek piszę ten kod bo mi się nie chce licencji sprawdzać ;) A już przekonywanie szefa żeby coś dodać.... zwłaszcza jeżeli nie mam przekonania że jest to konieczne ;)
Każda zewnętrzna biblioteka potrzebuje zewnętrznego (poza projektowego) zatwierdzenia, pod względem technicznym i prawnym. Nie wiem jak w innych projektach, w moim to jest przestrzegane i nie puszczamy niczego bokiem. Jeżeli potrzebowałbym jakiejś konkretnej biblioteki, to nie ma problemu z jej zakupem. Nie dałbym sobie ręki obciąć za zależności tych bibliotek, czy np. coś co bierzemy jaki Apache License nie wykorzystuje gdzieś po cichu czegoś na GPL, ale w tym przypadku również starałem się takie rzeczy sprawdzać. Osobiście podchodzę do tego w ten sposób, że nie kradnę dla siebie, to nie będę też kradł dla pracodawcy.
Masz narzędzia od tego. Jeśli zależności są ściągane z jakiegoś scentralizowanego repozytorium i tam jest kod licencji, to w większości zakłada się, że to się zgadza.
To zależy od sytuacji:
- aplikacja idzie fizycznie do klienta - tu trzeba sprawdzać i robiliśmy przegląd zależności i wszystkich zależności zależności. Kolega pisał skrypt który generował aktualny raport z aplikacji i to było konsultowane z klientem
- aplikacja as a service, do niedawna problemu nie było, chyba tylko na AGPL trzeba uważać
- aplikacja wewnętrzna - hulaj dusza, piekła nie ma