Come evitare i rischi di violazione nel riuso open source?

Salve,
come dovrebbe comportarsi, rispetto alla pubblicazione in riuso open source, una PA che utilizza un’applicazione sviluppata nel corso degli anni secondo il principio “best of breed” del free software ma che, per ovvi motivi conologici , non ha tenuto in alcun conto le linee guida del 2019?
In senso lato, la “vocazione” open source è stata presente fin dall’inizio (anche se come utilizzatore più che come “pubblicatore”) tuttavia, per i suddetti motivi, sussiste la presenza di framework, librerie e componenti delle più disparate tipologie di free license (Apache 2.0, CC0, GPL, MIT, Mozilla, …) che a rigore potrebbero essere non interamente compatibili con i requisiti di open source definition (The Open Source Definition (Annotated) | Open Source Initiative) e generare violazioni varie.
Ad occhio le strade sono tre: 1. eliminare tutti i moduli vulnerabili di violazione e riscriverli in OSS [ovviamente utopico]; 2. pubblicare comunque su developers italia facendo finta di niente e sperando nella buona stella; 3. non pubblicare perdendo la precedente possibilità di condividere con altre PA.
Per completezza dell’informazione aggiungo che l’applicazione era presente nel vecchio catalogo del riuso (circolare AGID 63/2013).

Grazie in anticipo per gli eventuali chiarimenti

1 Mi Piace

Il terzo caso è senza dubbio inadempiente, il secondo caso è un rischio incalcolabile (anche perché potrebbe essere già soggetta a vulnerabilità senza consapevolezza e senza consapevolezza che siano già state sfruttate).
Il primo caso è un rischio calcolabile oltre ad essere la finalità delle nuove linee guida del riuso.