Linux Foundation Neuauflage des Standards (Software Package Data Exchange) bietet eine Reihe von Spezifikationen für die Veröffentlichung und den Austausch von Informationen zu Lizenzen und geistigem Eigentum. Die Spezifikation ermöglicht nicht nur die Angabe der allgemeinen Lizenz für das gesamte Paket, sondern auch die Lizenzdetails einzelner Dateien und Fragmente, die Identifizierung der Urheberrechtsinhaber des Codes und der Personen, die die Lizenzkonformität überprüft haben.
SPDX bietet eine detaillierte Übersicht über das in einem Paket verwendete geistige Eigentum. Dies ermöglicht eine schnelle Bewertung potenzieller Risiken, die Identifizierung möglicher Inkompatibilitäten und die Einarbeitung in die Lizenzbedingungen. Mit SPDX können Hersteller von Verbrauchergeräten die vollständige Einhaltung von Open-Source-Lizenzen in ihren Produkten sicherstellen und Lizenzinkonsistenzen in Firmware identifizieren, die sowohl Open-Source- als auch proprietäre Anwendungen verwendet. Das Format ist für die automatische Verarbeitung optimiert. Es stehen jedoch auch Dienstprogramme zur Verfügung, mit denen SPDX-Dateien in ein menschenlesbares Format konvertiert werden können.
В Die Anzahl der Szenarien mit Beispielen für die Anwendung von SPDX wurde erweitert, neue Formate für SPDX-Dokumente (JSON, YAML, XML) wurden vorgeschlagen, neue Arten von Abhängigkeitsbindungen wurden hinzugefügt, Felder zur Angabe der Urheberschaft von Paketen, Dateien und Codeausschnitten wurden hinzugefügt, neue Kennungen PURL (Paket-URLs) und SWHIDs (Software Heritage Persistent Identifiers) wurden hinzugefügt, ein vereinfachtes SPDX Lite-Format wurde eingeführt, die Möglichkeit zur Angabe abgekürzter Lizenzkennungen in Dateien wurde bereitgestellt und Unterstützung für mehrzeilige Ausdrücke zur Bestimmung einer Lizenz wurde hinzugefügt.
Source: opennet.ru
