Fondazione Linux nuova edizione dello standard (Software Package Data Exchange), che offre un insieme di specifiche per la pubblicazione e lo scambio di informazioni su licenze e proprietà intellettuale. La specifica consente di specificare non solo la licenza generale per l'intero pacchetto, ma anche i dettagli di licenza di singoli file e frammenti, identificando i titolari del copyright del codice e le persone che ne hanno verificato la conformità alla licenza.
SPDX fornisce una mappa dettagliata della proprietà intellettuale utilizzata in un pacchetto, consentendo una rapida valutazione dei potenziali rischi, l'identificazione di potenziali incompatibilità e la familiarizzazione con i termini della licenza. Utilizzando SPDX, i produttori di dispositivi consumer possono garantire la piena conformità alle licenze open source nei loro prodotti e identificare incongruenze nelle licenze nei firmware che utilizzano una combinazione di applicazioni open source e proprietarie. Il formato è ottimizzato per l'elaborazione automatica, ma sono disponibili anche utility per convertire i file SPDX in un formato leggibile.
В È stato ampliato il numero di scenari con esempi di applicazione SPDX, sono stati proposti nuovi formati per i documenti SPDX (JSON, YAML, XML), sono stati aggiunti nuovi tipi di binding di dipendenza, sono stati aggiunti campi per riflettere la paternità di pacchetti, file e frammenti di codice, sono stati aggiunti nuovi identificatori PURL (URL dei pacchetti) e SWHID (identificatori persistenti del patrimonio software), è stato introdotto un formato SPDX Lite semplificato, è stata fornita la possibilità di specificare identificatori di licenza abbreviati nei file ed è stato aggiunto il supporto per espressioni multi-riga per determinare una licenza.
Fonte: opennet.ru
