CNCF:已将其重新依赖于AGPL的第三方依赖项
IP策略下的Permalink,CNCF项目使用Apache-2.0来代码。 CNCFGOVERNING LOANK审核其他非APACHE-2.0许可证,在CNCF项目的REPOS或依赖项中,外部审核。
当以未修改的方式使用时,CNCF管理委员会先前已采用AllowList License PolicyThat自动许可允许自动被自动被自动被批准为例外。
但是,其他许可证下的组成部分 - 特别是在Copyleft-stylecenses下 - 仍然受CNCF管理委员会批准。这是因为这样的许可证本质上是有问题的,而是因为在Apache-2.0下的项目下的项目的用户不能增加或可接受的义务或可接受的义务。
最近(在2021年初),CNCF项目已发现,他们使用的一些现有依存性通过从Apache-2.0到GNU Affero普通公共许可证V3.0,AGPL-3.0的许可人已重新依赖。
AGPL-3.0许可证是一个免费和开源的软件许可证。但是,它是一个强大的Copyleft许可证,这意味着当使用或分配某些方面时,它将超出Apache-2.0的令人惊叹的要求施加了覆盖的Copyleft义务。
此外,AGPL-3.0' S Copyleft义务的部分适用于ContextSevere,AGPL-3.0软件通过计算机网络互动。在云本机软件的上下文中,这意味着CopyleFobligations可能会在AGPL下发挥作用-3.0在那里他们不适合其他GPL许可证,其中分布是主要相关触发器。
这可能为CNCF项目提出问题,其中他们依赖于CNCF项目的许可证与CNCF项目'播种许可证,但不再对齐。
有几种方法可以考虑占据落入此类别的坚持不懈的方法。
该项目可能希望通过拖尾功能评估替代组件,并切换到Apache-2.0的一个或者在AllowList许可证策略下的Hasa允许许可证。
作为短期解决方案,该项目可能会考虑冻结组件的版本,以便在Thelicense更改之前的最后一次版本中修复。
这不太可能作为长期解决方案,特别是迄今为止,可能不太可能继续接受维护,安全修复等。
如果该项目要求现在-AGPL-3.0组件作为必填竞争,则可以请管理委员会授予许可策略的例外。
请注意,这不太可能被授予,而管理理事会(在本文时的时间)未成为AGPL-3.0下的组件的任何例外。
如果您确实寻求异常,您将希望提供有关特定组件的信息以及如何使用它们。特别是,提供有关ProceptCode与第三方组件之间的边界和交互的详细信息,以及组件是否强制或可选用于该项目。
理事会可拒绝以其自行决定授予异常;但是,理事会可能托盘账户的一些考虑因素如下: 如果AGPL-3.0代码将直接包含在源代码repo中,这非常不可能被批准为例外。 如果使用AGPL-3.0组件是强制使用CNCF项目的,则非常不可能被批准为例外。 如果组件是可选的运行时依赖项,并且默认情况下违约或包含,则可能会更可接受为ANException。 此外,如果可选的AGPL-3.0组件' S许可商具有undaspache-2.0或类似的允许许可证的MeDeavaulable接口工具(如客户端库),也可能使其成为例外情况。