Опубликован стандарт SPDX 2.2 для обмена информацией о лицензиях в пакетах

Организация Linux Foundation представила новую редакцию стандарта SPDX 2.2 (Software Package Data Exchange), предлагающего набор спецификаций для публикации и обмена информацией о лицензиях и сведениях об интеллектуальной собственности. Спецификация позволяет указать не только общую лицензию на весь пакет, но и определить особенности лицензирования отдельных файлов и фрагментов, указать владельцев имущественных прав на код и людей занимавшихся рецензированием его лицензионной чистоты.

SPDX предоставляет подробную карту используемой в пакете интеллектуальной собственности, позволяющей быстро оценить возможные риски, выявить потенциальные несовместимости и познакомиться с налагаемыми лицензией условиями использования. При помощи SPDX производители потребительских устройств могут убедиться в полном соблюдении открытых лицензий в своих продуктах и выявить лицензионные несоответствия в прошивках, в которых используется смесь из множества как открытых, так и проприетарных приложений. Формат оптимизирован для автоматической обработки, но также предоставляются утилиты для преобразования SPDX-файлов в наглядное для восприятие человеком представление.

В новой редакции расширено число сценариев с примерами применения SPDX, предложены новые форматы для SPDX-документов (JSON, YAML, XML), добавлены новые типы привязок к зависимостям, добавлены поля для отражения авторства пакетов, файлов и отрывков кода, добавлены новые идентификаторы PURL (Package URLs) и SWHIDs (Software Heritage Persistent Identifiers), представлен упрощённый формат SPDX Lite, предоставлена возможность указания в файлах сокращённых идентификаторов лицензий, добавлена поддержка многострочных выражений для определения лицензии.

Источник: opennet.ru