Softwarepaket-Datenaustausch - Software Package Data Exchange
Software Package Data Exchange ( SPDX ) ist ein offener Standard für Software-Stücklisten (SBOM) . SPDX ermöglicht den Ausdruck von Komponenten, Lizenzen , Urheberrechten, Sicherheitshinweisen und anderen Metadaten in Bezug auf Software. Sein ursprünglicher Zweck war die Verbesserung der Lizenz-Compliance und wurde seitdem erweitert, um zusätzliche Anwendungsfälle wie Transparenz und Sicherheit der Lieferkette zu ermöglichen. SPDX wird vom Community-getriebenen SPDX-Projekt unter der Schirmherrschaft der Linux Foundation verfasst .
Die aktuelle Version des Standards ist 2.2.
Versionsgeschichte
Die aktuelle Version des Standards ist 2.2 und wurde im Mai 2020 ratifiziert.
Die Version 2.1 wurde im November 2016 ratifiziert.
Seit August 2021 ist SPDX ein ISO-Standard, ISO/IEC 5962:2021 Informationstechnologie — SPDX® Specification V2.2.1 .
Lizenzsyntax
Jede Lizenz wird durch einen vollständigen Namen identifiziert, beispielsweise "Mozilla Public License 2.0" und eine Kurzbezeichnung, hier "MPL-2.0". Lizenzen können nach Operatoren ANDund OR, und Gruppierung (, kombiniert werden ).
Bedeutet beispielsweise, (Apache-2.0 OR MIT)dass man zwischen Apache-2.0( Apache-Lizenz ) oder MIT( MIT-Lizenz ) wählen kann . Auf der anderen Seite (Apache-2.0 AND MIT)bedeutet, dass beide Lizenzen gelten.
Es gibt auch einen "+"-Operator, wenn er auf eine Lizenz angewendet wird, bedeutet, dass auch zukünftige Versionen der Lizenz gelten. Bedeutet beispielsweise Apache-1.1+dies Apache-1.1und Apache-2.0kann gelten (und ggf. zukünftige Versionen).
SPDX beschreibt die genauen Bedingungen, unter denen eine Software lizenziert wird. Es wird nicht versucht, Lizenzen nach Typ zu kategorisieren, beispielsweise indem Lizenzen mit ähnlichen Bedingungen wie die BSD-Lizenz als "BSD-ähnlich" bezeichnet werden.
Im Jahr 2020 veröffentlicht die Europäische Kommission ihren Joinup Licensing Assistant, der die Auswahl und den Vergleich von mehr als 50 Lizenzen mit Zugriff auf deren SPDX-Kennung und den Volltext ermöglicht.
Veraltete Lizenzkennungen
Die GNU-Lizenzfamilie (zB GNU General Public License 2.0) hat die Wahl, eine spätere Version der eingebauten Lizenz zu wählen. Manchmal war nicht klar, ob der SPDX-Ausdruck GPL-2.0"genau GPL-Version 2.0" oder "GPL-Version" bedeutet 2.0 oder eine spätere Version". Daher hat die GNU-Lizenzfamilie seit Version 3.0 der SPDX-Lizenzliste neue Namen bekommen. GPL-2.0-onlybedeutet "genau Version 2.0" und GPL-2.0-or-laterbedeutet "Version 2.0 oder eine spätere Version".