解决在闭源项目中使用开源库的问题

Question

背景：有一些问题不是我们的核心业务。它们对我们的核心业务至关重要，但我们在人力，时间和专业知识方面没有自己的业务写作。我熟悉并且非常熟悉一些开源实现，使用封闭源友好的许可证，可以填补这些空白。闭源替代品我要么找不到，要么就是垃圾。

我整理了一份非正式的建议，向我的老板展示，包括每个项目的原始许可证，以便进行法律审查。作为一个对开源世界知之甚少的企业主，当他意识到这些库中的一些时，他最初犹豫不决。我试图尽我最大的能力教育他（我自己也不是开源战士），但他确实提出了一些有效的问题，在某些情况下，我觉得我没有得到尽可能好的回答。

担忧（源自我老板的预期）

• 我们如何知道并确保开源项目中没有恶意代码？阅读并理解每一行？那时我们可以自己写吧！
• 当出现问题时，我们会责怪谁？有了支持许可证和责任方，我们可以解决问题。如果他们没有通过，那么......你知道。
• 我们如何建立或衡量开源项目中的方法或实施是否合理，高效或优质？
• 在许可方面，我们向自己开了什么样的责任[授权，这对律师和RFTL问题更为重要]。

问题：您或您是否已经解决了这些问题？

Answer 1

我们如何知道并确保开源项目中没有恶意代码？阅读并理解每一行？那时我们可以自己写吧！

• 闭源相同的问题。闭源确实更糟糕。至少你可以自己查看开源，或者你可以拿别人的话来做。有了封闭的来源，接受别人的话就是你唯一的选择。

当出现问题时，我们会责怪谁？有了支持许可证和责任方，我们可以解决问题。如果他们没有通过，那么......你知道。

• 可能是最大的问题。这取决于您使用的特定解决方案。有些东西是由信誉良好的供应商（例如Red Hat）支持的，而其他的则几乎没有支持。但是“你知道”在这里至关重要：最终没有办法保证有人会修复你在使用封闭源时遇到的错误。至少在开源的情况下，您可以聘请第三方顾问以合适的价格完成工作，因为您有来源。

我们如何建立或衡量开源项目中的方法或实施是否合理，有效或质量好？

• 和其他代码一样吗？我对这个没有更好的答案。

在许可方面，我们向自己开了什么样的责任[授权，这对于律师和RFTL问题来说更像是一个问题]。

• 是的，请律师就此提出建议。无论如何，每个科技企业都应聘请律师。答案取决于您正在处理的特定许可证以及您计划对您开发的软件做些什么。