<div dir="ltr">Package: sq<br>Version: 1.3.1-2+b2<br>Severity: normal<br><br>The `sq` binary package claims `LGPL-2.0-or-later` as its license. However,<br>the binary statically links Rust dependencies whose licenses are incompatible<br>with LGPL-2.0, making the effective license of the distributed binary<br>incorrect.<br> <br>Specifically:<br> <br>1. librust-nettle-dev: licensed `LGPL-3.0 or GPL-2.0 or GPL-3.0`<br>   The LGPL-3.0 option here is not satisfiable under LGPL-2.0-or-later<br>   without upgrading to LGPL-3.0, since LGPL-2.0 and LGPL-3.0 are not<br>   directly compatible (LGPL-3.0 imposes additional requirements).<br> <br>2. librust-gethostname-dev: licensed `Apache-2.0`<br>   Apache-2.0 is compatible with LGPL-3.0 but not with LGPL-2.0 (due to<br>   patent termination and indemnity clauses conflicting with GPLv2-family<br>   terms). It is compatible starting from GPL-3.0 / LGPL-3.0.<br> <br>Since the sq binary statically incorporates code from both of these<br>dependencies, the effective license of the combined work must be<br>LGPL-3.0 or GPL-3.0 to satisfy all dependency license requirements.<br> <br>Other Sequoia packages are affected by the same issue, notably sqv,<br>which also statically links librust-nettle-dev.<br> <br>Suggested fix: Update the declared license of the binary package(s) to<br>LGPL-3.0.<br><br>-- System Information:<br>Debian Release: 13.4<br>  APT prefers stable-updates<br>  APT policy: (500, 'stable-updates'), (500, 'stable-security'), (500, 'stable')<br>Architecture: amd64 (x86_64)<br><br>Kernel: Linux 6.18.12-gentoo-dist (SMP w/32 CPU threads; PREEMPT)<br>Locale: LANG=C, LC_CTYPE=C.UTF-8 (charmap=UTF-8), LANGUAGE not set<br>Shell: /bin/sh linked to /usr/bin/dash<br>Init: unable to detect<br><br>Versions of packages sq depends on:<br>ii  libbz2-1.0      1.0.8-6<br>ii  libc6           2.41-12+deb13u2<br>ii  libgcc-s1       14.2.0-19<br>ii  libgmp10        2:6.3.0+dfsg-3<br>ii  libhogweed6t64  3.10.1-1<br>ii  libnettle8t64   3.10.1-1<br>ii  libsqlite3-0    3.46.1-7+deb13u1<br>ii  libssl3t64      3.5.5-1~deb13u2<br><br>sq recommends no packages.<br><br>sq suggests no packages.<br><br>-- no debconf information</div>