6.2.2 许可与法律合规

文档摘要

6.2.2 许可与法律合规在软件分发的现实战场上，许可与法律合规从来不是法务部门贴在发布包上的静态标签，而是嵌入构建流水线、运行时环境、依赖解析引擎乃至内存加载器中的动态控制流——它是一套可执行的策略系统，而非一纸声明。你无法靠阅读《GPLv3》第4条就让CI/CD自动拒绝合并含AGPL组件的PR；你也无法仅凭“我们用了MIT许可证”这句话，就阻止生产环境里某个被污染的npm包在调用链中悄然注入未声明的Copyleft传染逻辑。真正的合规，始于源码提交前的AST扫描，成于容器镜像签名验证时的策略断言，落于JVM类加载器对字节码许可证元数据的实时校验。这不是“要不要做”的选择题，而是“如何让机器替你做对”的工程命题。