Nokogiri: Nokogiri LGPL-2.1?

Dies ist eine große Sache für jeden, der sich um Softwarelizenzierung kümmert. Was jeder sein sollte.

Möchte bitte jemand von Team Nokogiri einen Kommentar abgeben?

Ich habe das erst heute entdeckt und finde es auch problematisch.

Entschuldigung, dass ich nicht schneller geantwortet habe. Entschuldigen Sie, dass Sie Leute in eine Position gebracht haben, in der sich dies auf Ihre Lizenzeinschränkungen auswirkt.

Die unglückliche Tatsache hier ist, dass, da pkg-config zum Zeitpunkt der Gem-Installation verwendet wird, es keine Möglichkeit gibt, zu garantieren, dass es bereits installiert wurde, es sei denn, es ist als Abhängigkeit deklariert. Das heißt, wenn es optional gemacht wird, wird es möglicherweise nach Nokogiri installiert und würde in diesem Fall nicht wirklich verwendet.

Ich denke die einzigen Alternativen sind:

• Entfernen Sie den Edelstein vollständig,
• oder überzeugen Sie den Upstream-Betreuer, die Lizenz zu ändern.

Beides ist nicht großartig. Ich bitte Sie um etwas mehr Zeit, um festzustellen, ob wir den Edelstein entfernen können, ohne die Installation einiger Plattformen zu beschädigen.

Könnten wir bitte ein Fortschritts-Update für dieses Problem und idealerweise eine ETA haben? Version 1.6.7 leidet unter CVE-2015-8806, und diese Version leidet unter dem LGPL-Lizenzproblem. Weder Scylla noch Charybdis sprechen einen der Stakeholder an, mit denen ich darüber gesprochen habe.

@flavorjones Ich habe PR #1498 als dritte Alternative geöffnet - was haltet ihr davon?

@flavorjones Könnten Sie ein Update zu diesem Problem bereitstellen? Wir starten ein neues Projekt, bei dem Nokogiri perfekt wäre, abgesehen von der restriktiven Lizenz.

@flavorjones Bump.

@flavorjones Bump.

Ich muss #1498 besser verstehen. Aber wenn das nicht funktioniert, ehrlich gesagt, ist es wahrscheinlich in Ordnung, es herauszureißen, es wurde sowieso nur eingeführt, um einen Randfall auf FreeBSD zu behandeln.

@flavorjones Wie läuft's, Mike?

@flavorjones Irgendwelche Updates, Mike?

Wir werden das Paket optional machen und 1.6.9 bald schneiden. Vielen Dank für Ihre Geduld. Heutzutage ist es schwierig, Zeit für die Arbeit an OSS zu finden.

Jetzt 1.6.8.1 schneiden ... (Version von obigem Kommentar korrigiert)

FYI: Es gibt viele Leute, die LGPL nicht kennen. Wenn Nokogiri LGPL-Software als Bibliothek verwendet, müssen wir die Lizenz von Nokogiri nicht ändern. Dies bedeutet, dass Nokogiri die MIT-Lizenz verwendet und die von Nokogiri verwendeten Bibliotheken die LGPL verwenden, sind kein Problem. Beispielsweise kann libxslt libgcrypt verwenden, das LGPL verwendet, aber libxslt mit libgcrypt kann die MIT-Lizenz verwenden, nicht LGPL.

Wenn Nokogiri eine LGPL-lizenzierte Bibliothek in Nokogiri selbst einbettet, muss Nokogiri LGPL, GPL oder AGPL verwenden. Aber Nokogiri verwendet nur LGPL-lizenzierte Software als Bibliothek. Es ist also kein Problem, dass Nokogiri LGPL-lizenzierte Software als Bibliothek verwendet.

@kou Dieses Problem ist geschlossen, pkg-config ist keine harte Abhängigkeit mehr.

Das ist falsch. Es macht Benutzer explizit abhängig von pkg-config , selbst wenn die beiden Gems lizenzkompatibel sind. :(

@unleashed Es wurde bereits in der neuesten Version von nokogiri behoben. Wie oben beschrieben. Mehrmals.