Linux Foundation представила нову редакцію стандарту SPDX 2.2 (Software Package Data Exchange)
Linux Foundation представила нову редакцію стандарту SPDX 2.2 (Software Package Data Exchange)
Linux Foundation представила нову редакцію стандарту SPDX 2.2 (Software Package Data Exchange), що пропонує набір специфікацій для публікації та обміну інформацією про ліцензії та відомості про інтелектуальну власність. Специфікація дозволяє вказати не лише загальну ліцензію на весь пакет, а й визначити особливості ліцензування окремих файлів та фрагментів, вказати власників майнових прав на код та людей, які займалися рецензуванням його ліцензійної чистоти.
SPDX надає детальну карту інтелектуальної власності, яка використовується в пакеті, що дозволяє швидко оцінити можливі ризики, виявити потенційні несумісності і познайомитися з умовами використання, що накладаються ліцензією. За допомогою SPDX виробники споживчих пристроїв можуть переконатися у повному дотриманні відкритих ліцензій у своїх продуктах та виявити ліцензійні невідповідності в прошивках, в яких використовується суміш із безлічі як відкритих, так і пропрієтарних додатків. Формат оптимізований для автоматичної обробки, але також надаються утиліти для перетворення SPDX-файлів у наочне для сприйняття людиною уявлення.
У новій редакції розширено число сценаріїв з прикладами застосування SPDX, запропоновано нові формати для SPDX-документів (JSON, YAML, XML), додано нові типи прив'язок до залежностей, додано поля для відображення авторства пакетів, файлів та уривків коду, додано нові ідентифікатори PURL (Package URLs) та SWHIDs (Software Heritage Persistent Identifiers), представлений спрощений формат SPDX Lite, надано можливість вказівки у файлах скорочених ідентифікаторів ліцензій, додано підтримку багаторядкових виразів для визначення ліцензії.
