Соответствие требованиям открытого исходного кода продвигается на LinuxCon

Linux Foundation анонсировала спецификации SPDX 2.1 и OpenChain 1.0, которые призваны прояснить и стандартизировать совместимость и управление с открытым исходным кодом.

На LinuxCon Europe в Берлине Linux Foundation объявил о двух новых выпусках от разных групп, пытающихся стандартизировать отслеживание лицензий с открытым исходным кодом, соответствие требованиям и управление цепочками поставок.
Проект обмена данными программного пакета (SPDX) объявил о выпуске SPDX 2.1 для отслеживания сложных лицензионных зависимостей с открытым исходным кодом, добавления новых «фрагментов» и функций приложения, а рабочая группа OpenChain выпустила OpenChain 1.0 для управления цепочкой поставок с открытым исходным кодом.


Две сцены из LinuxCon Europe 2016

(нажмите на изображение, чтобы увеличить; источник: Linux Foundation)

LinuxCon Europe, за которым на следующей неделе последуют Европейская конференция по встраиваемым Linux- системам (ELCE) и OpenIoT Summit, расположенные в том же месте, стартовали через несколько дней после выпуска технического обслуживания Linux 4.7.6 , а также общедоступности ядро Linux 4.4.23 LTS .
Незначительные изменения в Linux 4.7.6 включают улучшения файловых систем XFS, Btrfs, Ceph, autofs4, HostFS, OCFS2 и ReiserFS.

SPDX 2.1

Стандарт обмена данными программного пакета (SPDX) и новый проект SPDX были анонсированы с выпуском SPDX 1.0 в 2011 году, основанном на более ранней работе, проделанной проектом FOSSology.
Версия SPDX 2.0 появилась в 2015 году. Этот общий формат для обмена данными о лицензиях на программное обеспечение и авторских правах был выпущен в версии 2.1 как часть инициативы Open Compliance LF.


Содержание документа SPDX 2.1 и схема соответствия

(нажмите на картинку, чтобы увеличить)

SPDX 2.1 стандартизирует включение дополнительных данных в создаваемые файлы.
Также добавлен синтаксис для точной маркировки исходных файлов идентификаторами списка лицензий SPDX.

Конкретные новые функции включают дополнительную функцию фрагментов, которая позволяет идентифицировать часть файла, которая имеет свойства, отличные от файла в целом.
Также улучшены способы обращения к внешним пакетам и репозиториям, а также добавлено новое приложение, объясняющее, как использовать идентификаторы списка лицензий SPDX в исходных файлах.
Эти короткие идентификаторы все чаще используются в проектах с открытым исходным кодом, поскольку они позволяют быстро идентифицировать включенные лицензии, говорит проект SPDX.

OpenChain 1.0

Linux Foundation объявила о создании рабочей группы OpenChain год назад на LinuxCon Europe в Дублине.
Теперь рабочая группа выпустила спецификацию OpenChain 1.0.

Как и проект SPDX, проект OpenChain направлен на рационализацию соответствия с открытым исходным кодом, но более конкретно фокусируется на проблемах цепочки поставок.
Проект также намеревается «способствовать повышению качества и согласованности соблюдения норм с открытым исходным кодом, чтобы помочь уменьшить дублирование усилий, вызванных отсутствием стандартизации и прозрачности в профессиональных организациях с открытым исходным кодом».

Эти цели теперь формализованы в спецификации OpenChain 1.0, которая устанавливает требования и лучшие практики для документирования политики свободного и открытого исходного кода (FOSS), обучения персонала по вопросам соответствия и распределения ответственности за достижение соответствия.
Спецификация определяет, как проверять и утверждать содержимое FOSS, а также предоставлять документацию и артефакты FOSS, такие как уведомления об авторских правах, лицензии и исходный код.

OpenChain 1.0 также объясняет такие процессы, как юридическое одобрение FOSS, обоснование бизнеса, технический анализ кода, взаимодействие с сообществом и требования к участию.
Кроме того, в спецификации показано, как выполнить требования сертификации OpenChain.

Проект OpenChain ссылается на недавно опубликованный Отчет о вакансиях с открытым исходным кодом в 2016 году, опубликованный Linux Foundation, в котором сообщается, что почти 70 процентов менеджеров по найму стремятся нанять и сохранить специалистов по открытым источникам в течение следующих шести месяцев.
Платиновые участники проекта OpenChain включают Adobe, ARM, Cisco, Harman, HPE, Qualcomm, Siemens и Wind River.

«Сотни тысяч людей по всему миру, в том числе крупнейшие в мире компании, используют программное обеспечение с открытым исходным кодом, поэтому нам нужно работать вместе, чтобы поддерживать лучшие практики для обеспечения соответствия лицензий на ПО по всей цепочке поставок», - заявил Джим Землин, исполнительный директор The Linux Фонд.

Дальнейшая информация

Более подробную информацию о SPDX 2.1 можно найти в объявлении SPDX 2.1 и на веб-сайте SPDX Project .
Больше о OpenChain 1.0 доступно в объявлении OpenChain 1.0 и на сайте OpenChain .