可以告诉 pip 或 Poetry 不要安装 GPL 许可的软件包吗?
Can pip or Poetry be told not to install GPL-licensed packages?
在最近的一次发布审查中,我们惊讶地发现一些 GPL 软件包已作为传递依赖项安装。有没有办法将 pip 或诗歌安装配置为在某些许可证类型上失败?我们的旧服务使用 pip,新服务使用 poetry。或者,至少有一种好方法可以列出所有依赖项的许可证,包括传递依赖项?
Is there a way to configure either pip or poetry installs to fail on certain license types?
没有。
Alternately, is there at least a good way to list the licenses of all dependencies, including transitive dependencies?
pip-licenses项目将列出所有依赖项的许可证:
$ pip-licenses
Name Version License
Django 2.0.2 BSD
pytz 2017.3 MIT
在最近的一次发布审查中,我们惊讶地发现一些 GPL 软件包已作为传递依赖项安装。有没有办法将 pip 或诗歌安装配置为在某些许可证类型上失败?我们的旧服务使用 pip,新服务使用 poetry。或者,至少有一种好方法可以列出所有依赖项的许可证,包括传递依赖项?
Is there a way to configure either pip or poetry installs to fail on certain license types?
没有。
Alternately, is there at least a good way to list the licenses of all dependencies, including transitive dependencies?
pip-licenses项目将列出所有依赖项的许可证:
$ pip-licenses
Name Version License
Django 2.0.2 BSD
pytz 2017.3 MIT