7.3.2.2 版权与贡献协议

文档摘要

7.3.2.2 版权与贡献协议当贡献者在 PR 描述里写下 “I agree to the DCO”——但 Git 提交记录里却查不到 Signed-off-by 行时，你的 CI 正在 silently 信任一个法律上无效的授权声明这不是疏忽。这是开源协作中最具欺骗性的合规断点之一。你见过多少次这样的场景？凌晨两点，一位社区开发者提交了一个修复内存泄漏的 PR，代码干净、测试通过、文档补全——CI 流水线绿得发亮，Maintainer 点下 Merge，5 分钟后，这个补丁就进了分支，被下游数十个项目依赖。可就在合并发生的那一刻，法律意义上的贡献授权链条，已经断裂了。不是因为开发者不诚信，也不是因为项目没设防。