Software::Business
SPDX 2.1 veröffentlicht
Das Software Package Data Exchange-Projekt (SPDX) hat auf der diesjährigen LinuxCon die Version 2.1 seiner Spezifikation bekannt gegeben. SPDX bei der Linux Foundation gehostetes Projekt. Es soll den Umgang mit Lizenzen, Urheberrechten und das Zusammenspiel von Softwarekomponenten vereinfachen. Zielgruppe sind vor allem Unternehmen und Kommunen.
Der SPDX-Standard hilft Unternehmen und Kommunen, Verordnungen einzuhalten, die mit freier und Open-Source-Software und ihren Lizenzen einhergehen. Das wird dann wichtig, wenn mehrere Softwarekomponenten mit verschiedenen Open-Source-Lizenzen miteinander verstrickt werden. Mittels spezieller SPDX-Dateien, die im idealen Fall Teil des Softwarepakets sind, lässt sich über die gesamte Software hinweg prüfen, ob Lizenzbestimmungen eingehalten sind. Laut der 2016 North Bridge & Black Duck Future of Open Source Study setzen über 90 Prozent der in der Studie befragten Unternehmen Open-Source-Software ein, aber nur die Hälfte von ihnen hat einen formalen Verwaltungsprozess, auf den sie sich verlassen können.
SPDX 2.1 standardisiert die Einbindung zusätzlicher Daten in generierten SPDX-Dateien und bietet eine Syntax an, um Quelldateien mit Hilfe von SPDX-Lizenzlistenidentifikatoren korrekt zu kennzeichnen. Mit den optionalen »Snippets« lassen sich Teile einer Datei identizizieren, die andere Eigenschaften als die Datei selbst haben. Die SPDX-Arbeitsgruppe verbesserte Referenzierungen externer Pakete und Repositorien, so dass Anwender jetzt Pakete mit Verwundbarkeitsdatenbanken und Komponenten-Repositorien wie npm, maven, Bower etc. in verbindung bringen können. SPDX wurde um einen neuen Anhang erweitert. Dieser erklärt, wie die SPDX-Lizenzlistenidentifikatoren in Quelldateien verwendet werden. Die Anzahl der Open-Source-Projekte in der Identifikationsliste wurde erweitert, so dass sich mit einem Scan der Verzeichnisse die enthaltenen Lizenzen ermitteln lassen. So sollen zukünftig Fehler vermieden werden, die bisher auftraten, wenn nur die Header gelesen wurden, um auf die Lizenz zurückzuschließen.
SPDX wird seit 2010 entwickelt. Insgesamt gehören der Arbeitsgruppe der Linux Foundation mehr als 20 Organisationen an aus den Bereichen Software, Systemanbieter und Systemintegration an.
