License 须知

注：本文仅适用于Apache项目。 本文参考 Dolphinscheduler项目的License须知文档 https://dolphinscheduler.apache.org/zh-cn/community/development/DS-License.html

ASF(Apache基金会)下的开源项目，对于License有着极其严苛的要求，当您为Linkis贡献代码时，就必须按照Apache的规则来,为了避免贡献者在License上浪费过多的时间， 本文将为您讲解ASF—License以及参与 Linkis 项目开发时如何规避掉License风险。

1.License 文件目录说明

licence相关的可以划分为3部分

• 源码级别 主要需要关注的场景是： 在项目工程源码中，直接引入第三方资源（如 直接使用了某个其他项目的代码JAVA文件，新增了文本、css、js、图片、图标、音视频等文件，以及在第三方基础上做的修改）
• 项目的安装物料包 主要需要关注的场景是： 依赖的第三方jar包的运行态依赖，pom 配置中 通过dependency依赖引入 即最后编译打包会被打包到发布的安装包中的
• 管理台的安装物料包 主要需要关注的场景是：前端web编译依赖的第三方npm依赖包 通过linkis-web/package.json 配置引入

Linkis源码涉及到license的目录如下

# 最外层目录开始

├── LICENSE  //项目源码的LICENSE  一些没有asf header的文件或则引入外部资源需要在这里标明 
├── NOTICE   //项目源码的NOTICE 一般不会变动 
├── licenses  //项目源码级别引入第三方组件license 说明 
│   └── LICENSE-py4j-0.10.9.5-src.txt
├── linkis-dist  
│   └── release-docs 
│       ├── LICENSE   //编译的安装包中依赖的第三方jar包的license信息汇总 
│       ├── licenses   //编译的安装包中依赖的第三方jar包对应的license信息详细 
│       │   ├── LICENSE-log4j-api.txt
│       │   ├── LICENSE-log4j-core.txt
│       │   ├── LICENSE-log4j-jul.txt
│       │   ├── LICENSE-xxxx.txt
│       └── NOTICE  //编译的安装包中依赖的第三方jar包的NOTICE 汇总 
├── linkis-web 
    └── release-docs
        ├── LICENSE  //前端web编译安装包第三方npm依赖的LICENSE信息汇总  
        ├── licenses  //前端web编译安装包第三方npm依赖对应的license信息详细 
        │   ├── LICENSE-vuedraggable.txt
        │   ├── LICENSE-vue-i18n.txt
        │   ├── LICENSE-vue.txt
        │   ├── LICENSE-vuescroll.txt
        │   └── LICENSE-xxxx.txt
        └── NOTICE //前端web编译安装包第三方npm依赖的NOTICE 汇总  
        

2.如何在 Linkis 合法的使用第三方开源软件

当你提交的代码有如下场景时：

• 场景1. 源码中有新增(或移除)使用第三方代码或则静态资源，如源码中直接使用了某个其他项目的代码文件文件，新增了文本、css、js、图片、图标、音视频等文件，以及在第三方基础上做的修改。

• 场景2. 项目的运行态依赖有新增(或移除)(运行态依赖:即最后编译打包会被打包到发布的安装包中的)

• 场景1中的引入的文件必须是ASF第三方许可证策的A类License

• 场景2中的引入的依赖必须是ASF第三方许可证策中的A类/B类License，不能是C类License

我们需要知道被我们项目引入的文件或jar依赖的NOTICE/LICENSE,（绝大多数的开源项目都会有NOTICE文件），这些必须在我们的项目中体现，用Apache的话来讲，就是"Work" shall mean the work of authorship, whether in Source or Object form, made available under the License, as indicated by a copyright notice that is included in or attached to the work.

2.1 示例 场景1

比如源码中引入了linkis-engineconn-plugins/python/src/main/py4j/py4j-0.10.7-src.zip第三方文件

找到py4j-0.10.7-src.zip 对应的版本源码分支，如果对应版本分支无LICENSE/NOTICE文件，则选择主分支

• 项目源码位于:https://github.com/bartdag/py4j/tree/0.10.7/py4j-python
• LICENSE文件:https://github.com/bartdag/py4j/blob/0.10.7/py4j-python/LICENSE.txt
• NOTICE文件:无

需要在linkis/LICENSE文件中说明py4j-0.10.7-src.zip的license信息。 py4j-0.10.7-src.zip对应的详细的license.txt文件放在同级的目录下linkis-engineconn-plugins/python/src/main/py4j/LICENSE-py4j-0.10.7-src.txt 因为https://github.com/bartdag/py4j/tree/0.10.7/py4j-python 没有NOTICE文件，所以linkis/NOTICE文件中无需追加。

2.2 示例 场景 2

项目编译依赖了org.apache.ant:ant:1.9.1,ant-1.9.1.jar会在最后的编译安装包target/apache-linkis-x.x.x-bin/linkis-package/lib中 可以解压ant-1.9.1.jar，从jar包中提取LICENSE/NOTICE文件，如果没有，则需要找到对应的版本源码 找到py4j-0.10.7-src.zip 对应的版本源码分支，如果对应版本分支没有，则选择主分支

• 项目源码位于:https://github.com/apache/ant/tree/rel/1.9.1
• LICENSE文件:https://github.com/apache/ant/blob/rel/1.9.1/LICENSE
• NOTICE文件:https://github.com/apache/ant/blob/rel/1.9.1/NOTICE

需要在linkis/LICENSE-binary文件中说明ant-1.9.1.jar的license信息。 ant-1.9.1.jar对应的详细的license.txt文件放在licenses-binary/LICENSE-ant.txt ant-1.9.1.jar对应的详细的notice.txt，追加到 NOTICE-binary文件中

关于具体的各个开源协议使用协议，在此不做过多篇幅一一介绍，有兴趣可以自行查询了解。

3.license 检测规则

我们为自己的项目建立license-check脚本，是为了确保我们在使用过程中能够第一时间避免License的问题。

当我们需要添加新的Jar或其他外部资源的时候，我们需要按照以下步骤：

• 在 tool/dependencies/known-dependencies.txt中添加你所需要的jar名称+版本。
• 在 linkis-web/release-docs/LICENSE（根据实际情况决定）中添加相关的license信息。
• 在 linkis-web/release-docs/NOTICE（根据实际情况决定）中追加相关的NOTICE文件，此文件请务必和依赖项的代码版本仓库中的NOTICE文件一致。

注意

如果是移除的场景，则对应的上述步骤的反向操作，需要在对应的文件中移除相应的LICENSE/NOTICE内容，总之需要保证这几个文件与实际源码/编译包的数据保持一致

• tool/dependencies/known-dependencies.txt
• LICENSE/LICENSE-binary/LICENSE-binary-ui
• NOTICE/NOTICE-binary/NOTICE-binary-ui

check dependency license fail

编译后 执行tool/dependencies/diff-dependenies.sh 脚本验证

--- /dev/fd/63  2020-12-03 03:08:57.191579482 +0000
+++ /dev/fd/62  2020-12-03 03:08:57.191579482 +0000
@@ -1,0 +2 @@
+HikariCP-java6-2.3.13.jar
@@ -16,0 +18 @@
+c3p0-0.9.5.2.jar
@@ -149,0 +152 @@
+mchange-commons-java-0.2.11.jar
Error: Process completed with exit code 1.

一般来讲，添加一个jar的工作往往不会如此轻易的结束，因为它往往依赖了其它各种各样的jar，这些jar我们同样需要添加相应的license。 这种情况下，我们会在check里面得到 check dependency license fail的错误信息，如上，我们缺少了HikariCP-java6-2.3.13、c3p0等的license声明， 按照添加jar的步骤补充即可。

4.附件

附件：新jar的邮件格式

[VOTE][New/Remove Jar] jetcd-core(registry plugin support etcd3 ) 


（说明目的，以及需要添加/移除的 jar 是什么）
Hi, the registry SPI will provide the implementation of etcd3. Therefore, we need to introduce a new jar (jetcd-core, jetcd-launcher (test)), which complies with the Apache-2.0 License. I checked his related dependencies to make sure it complies with the license of the Apache project.

new or remove jar : 

jetcd-core             version -x.x.x   license apache2.0
jetcd-launcher (test)  version -x.x.x   license apache2.0

dependent jar（它依赖了哪些jar，最好附带版本,以及相关采用的license协议）:
grpc-core     version -x.x.x  license XXX
grpc-netty    version -x.x.x  license XXX
grpc-protobuf version -x.x.x  license XXX
grpc-stub     version -x.x.x  license XXX
grpc-grpclb   version -x.x.x  license XXX
netty-all     version -x.x.x  license XXX
failsafe      version -x.x.x  license XXX

如果是新增，邮件需要附上如下内容
相关地址：主要有github地址、license文件地址、notice 文件地址、maven中央仓库地址

github address:https://github.com/etcd-io/jetcd
license:https://github.com/etcd-io/jetcd/blob/master/LICENSE
notice:https://github.com/etcd-io/jetcd/blob/master/NOTICE

Maven repository:
https://mvnrepository.com/artifact/io.etcd/jetcd-core
https://mvnrepository.com/artifact/io.etcd/jetcd-launcher

5.参考文章

• COMMUNITY-LED DEVELOPMENT "THE APACHE WAY"
• ASF 3RD PARTY LICENSE POLICY