Linux Foundation представила новую редакцию стандарта SPDX 2.2 (Software Package Data Exchange)
Linux Foundation представила новую редакцию стандарта SPDX 2.2 (Software Package Data Exchange)
Linux Foundation представила новую редакцию стандарта SPDX 2.2 (Software Package Data Exchange), предлагающего набор спецификаций для публикации и обмена информацией о лицензиях и сведениях об интеллектуальной собственности. Спецификация позволяет указать не только общую лицензию на весь пакет, но и определить особенности лицензирования отдельных файлов и фрагментов, указать владельцев имущественных прав на код и людей, занимавшихся рецензированием его лицензионной чистоты.
SPDX предоставляет подробную карту используемой в пакете интеллектуальной собственности, позволяющей быстро оценить возможные риски, выявить потенциальные несовместимости и познакомиться с налагаемыми лицензией условиями использования. При помощи SPDX производители потребительских устройств могут убедиться в полном соблюдении открытых лицензий в своих продуктах и выявить лицензионные несоответствия в прошивках, в которых используется смесь из множества как открытых, так и проприетарных приложений. Формат оптимизирован для автоматической обработки, но также предоставляются утилиты для преобразования SPDX-файлов в наглядное для восприятие человеком представление.
В новой редакции расширено число сценариев с примерами применения SPDX, предложены новые форматы для SPDX-документов (JSON, YAML, XML), добавлены новые типы привязок к зависимостям, добавлены поля для отражения авторства пакетов, файлов и отрывков кода, добавлены новые идентификаторы PURL (Package URLs) и SWHIDs (Software Heritage Persistent Identifiers), представлен упрощённый формат SPDX Lite, предоставлена возможность указания в файлах сокращённых идентификаторов лицензий, добавлена поддержка многострочных выражений для определения лицензии.
