如何处理死的开源依赖项？

Question

我正在尝试为开源版本准备一个项目，但遇到了问题...该项目依赖于许多开源组件，迄今为止我刚刚将这些组件作为 JAR 文件存储在我的 lib 目录中。 其中一些可以追溯到几年前，至少其中来自一个开源项目，该项目的网站已经消失，而且我无法找到其源代码（Radeox 库）。

我的困境是，当我发布项目时，我不知道如何打包它...我不应该包含没有源代码的 JAR 文件，因为这会违反我自己使用代码的许可证条款，但是我认为这个 JAR 文件不容易找到，所以我也不希望有一个自述文件说“找到这个 JAR，祝你好运！”。

在这种情况下，最佳做法是什么？ （除了“保留从现在开始导入的所有 JAR 的源代码！）其次，有谁知道我在哪里可以找到这个特定库的源代码？

谢谢！

Answer 1

如果许可证规定您必须包含源代码，那么您必须包含源代码。

尝试联系原作者。 也许这个 Ohloh 链接会有所帮助。 如果您无法联系到他们，也许您可​​以从使用该库的另一个项目获取源代码的副本。 作为最后的手段，您可以尝试 Google 缓存 或 archive.org。

Answer 2

更新：Bingo!!

这是 Radeox Subversion 存储库。 向下导航到 http://svn.codehaus.org/ radeox/main/trunk/src/java/org/radeox/ 获取源代码。

早些时候...

看起来作者 Stephan Schmidt 目前正在 http:// /www.codemonkeyism.com。 他的联系信息（包括电子邮件）位于此处，以及来自 2007 年 8 月 谈到将项目分叉到Reposita.org（似乎还没有启动）。 去年，他的演示让他参加了 ImobilienScout24。

我相信您已经意识到依赖一个已死的、无人维护的项目的危险。 我们刚刚清除了软件中的几个此类依赖项，并且睡得更好了。 其中包括用于 SOAP Web 服务的 Axis 1.4（由于严重的线程错误而于 2005 年被放弃），并被普通的 Java 逻辑所取代； kxml 解析器（也于 2005 年废弃），由 JAXP 取代； 以及一个无名的 HTTP 客户端（已经被废弃了，我们甚至找不到旧的源代码），被 Apache HTTP 客户端取代。 不过 Radeox 听起来像是一个更困难的情况。

获取法律建议，并努力寻找消息来源和/或斯蒂芬，记录你所做的一切。 这可能足以让您在制定替换策略时分发二进制文件。

Answer 3

我们的方法是确保在获取二进制文件时获取源代码。 然后，正是出于您引用的原因，我们在本地永久存档所有第三方依赖项。 这有点痛苦，因为使用第三方库比简单地下载 tarball 并运行要复杂一些，但这意味着当库被弃用时，我们可以继续履行我们的客户义务和法律义务。

请注意，我们目前维护的软件已有近 15 年的历史，而且我们的一些第三方软件包早于流行的网络，因此我们的解决方案对您来说可能有点大材小用。

还有其他优点； 我们必须修补其中一些产品来修复错误或添加上游维护人员无法或不愿意添加但我们需要的功能，并且这与此过程无缝契合。