Растолкуйте мне, пожалуйста, как правильно вести себя человеку, опубликовавшему хобби проект под Open Source лицензией, и получившему пулл-реквест от случайного прохожего?

Я почитал много обсуждений о DCO и CLA, но так и не понял, есть ли в них необходимость для соблюдения inbound=outbound принципа? Как правильно подтвердить (и нужно ли подтверждать) понимание контрибьютором того, что он отдает свои правки под Open Source лицензией?

В Apache License (v2.0) есть целый параграф про это:

   5. Submission of Contributions. Unless You explicitly state otherwise,
      any Contribution intentionally submitted for inclusion in the Work
      by You to the Licensor shall be under the terms and conditions of
      this License, without any additional terms or conditions.
      Notwithstanding the above, nothing herein shall supersede or modify
      the terms of any separate license agreement you may have executed
      with Licensor regarding such Contributions.

Из чего как бы следует, что идея DCO в ней охвачена. В то же время, в GPLv3 подобных оговорок нет, да и проект Linux полностью завязан на использование DCO. Хотя, опять же, там GPLv2, которая многих современных вещей не предусматривала...

В общем, интересует правильная последовательность действий, необходимая и достаточная для того, чтобы автор пулл-реквеста потом не имел оснований сказать, что он не соглашался, чтобы его правки были опубликованы под лицензией, используемой в проекте на момент их публикации.

---

Добавлено:

В виду «вирусности» GPL можно предположить, что копия репозитория, в которой контрибьютор делал правки, может быть опубликована только под GPL, следовательно, нет и проблемы с DCO (если считать создание пулл-реквеста публикацией). Как-то так.