SPDX v2 упрощает отслеживание зависимостей лицензий с открытым исходным кодом

[Обновлено 10:00 AM] - Linux Foundation обновил свой стандарт SPDX до версии 2.0, улучшив возможность отслеживать сложные лицензионные зависимости с открытым исходным кодом для обеспечения соответствия.

В 2011 году Linux Foundation (LF) выпустила версию 1.0 стандарта обмена пакетами программ (SPDX), продвигая его как общий формат для обмена данными о лицензиях и авторских правах на программное обеспечение.
Теперь рабочая группа LF SPDX выпустила версию 2.0 стандарта, с новыми функциями, которые позволяют связывать документы SPDX друг с другом, чтобы обеспечить «трехмерное» представление отношений лицензионных зависимостей.


Что нового в SPDX 2.0

SPDX был разработан для того, чтобы упростить трудоемкий процесс соблюдения требований лицензирования для программных компонентов в ведомости материалов и других документах.
С годами проблема усугублялась из-за усложнения глобальной цепочки поставок.


SPDX обрабатывает отношения пакета

Новый взгляд на отношения делает стандарт SPDX более полезным для более широкого диапазона применений, включая обмен данными о программном обеспечении и модулях, представленных в цепочке поставок, говорит LF.
Утверждается, что усовершенствования облегчают обмен данными с открытым исходным кодом и лицензиями, упрощают соблюдение лицензий с открытым исходным кодом и помогают поставщикам более легко определять обязательства или уязвимости безопасности перед отправкой.

Другие новые функции в SPDX 2.0 включают в себя:

  • Описание нескольких пакетов в одном документе SPDX, позволяющее объединять информацию, которая должна храниться вместе
  • Расширенные аннотации, которые включают замену «обзорных» комментариев, доступных для любого конкретного элемента в документе SPDX
  • Новый синтаксис выражений лицензий с улучшенными рекомендациями по сопоставлению лицензий, что делает сбор сложных лицензий в файле более простым и надежным
  • Дополнительные типы файлов и алгоритмы контрольной суммы с расширенными типами файлов, позволяющие более точно идентифицировать файл
  • Поддержка ссылок на программное обеспечение, извлеченное из систем контроля версий, в дополнение к программному обеспечению, используемому для загрузки

SPDX «большая картина»

В рабочую группу SPDX входят представители более 20 организаций, включая поставщиков программного обеспечения, систем и инструментов, а также фонды и системные интеграторы.
В его состав входят Alcatel-Lucent, ARM, Black Duck Software, Cisco, HP, Linaro, Micro Focus, nexB, Palamida, Pelagicore, Protecode, Source Auditor, Qualcomm, Samsung, Texas Instruments, Университет Небраски, Омаха, Университет Виктории и Wind. River.

«С SPDX 2.0 компании могут быть более уверенными, чем когда-либо прежде, в своем согласии с открытым исходным кодом», - заявил Фил Оданс из Black Duck, председатель рабочей группы SPDX.
«Благодаря новым функциям, которые предоставляют контекстную ссылку на пакеты и файлы, в том числе внешние по отношению к документам SPDX, спецификация SPDX становится еще более ценным ресурсом для растущего числа компаний по всему миру, использующих программное обеспечение с открытым исходным кодом в своих продуктах».

Дальнейшая информация

SPDX 2.0 доступен для бесплатной загрузки сейчас.
Дополнительную информацию можно найти на веб-сайте SPDX.org .
Файл PDF презентации SPDX 2.0, из которого были получены изображения в этом посте, доступен для загрузки здесь .