软件包资料交换规范

关于网络通讯协定，请见“SPDY”。

软件包资料交换规范（Software Package Data Exchange）简称SPDX，是软件材料表（SBOM）的开源标准^[1] 。SPDX可以说明软件组件、软件许可、著作权、安全参考资料以及其他有关软件的元数据^[2]，其原始的设计目的是要提升许可证的兼容性^[3]，之后也增加了额外的使用例，像是供应链的透明度以及安全性^[4]。SPDX是由Linux基金会主持，由社群驱动的SPDX计划所撰写。

状态	已发布
首次出版	2011年8月 (2011-08)
最新版本	3.0 2024年4月 (2024-04)
组织	Linux基金会
委员会	SPDX Project
领域	软件材料表
许可证	CC-BY-3.0
缩写	SPDX
网站	spdx.dev

SPDX标准的最新版本是2024年4月发布的3.0版本。^[5]

结构

SPDX标准定义了软件材料表的文件，其中包括了有关软件的SPDX元数据。此文件可以用JSON、YAML、RDF/XML、tag-value及表格的形式表示。每一份SPDX文件会叙述一个或多个组件，可能是软件包、特定的文件，或是文件的某一部分。每一个组件都有唯一的标识符，因此各组件可以互相引用^[6]。

历史

SPDX规格的第1版是在2011年8月发布的，原始的设计目的是要简化软件许可兼容确认^[3]，不过后续的版本加入了可以用在其他用途的功能，例如可以包括已知软件漏洞的参考信息^[7]。近期的SPDX已符合美国国家电信暨信息管理局（英语：National Telecommunications and Information Administration）（NTIA）提出的“软件材料表中的基本元素”^[8]。

SPDX 2.2.1于2020年10月提交到国际标准化组织，在2021年8月发行，成为ISO/IEC 5962:2021 Information technology — SPDX® Specification V2.2.1^[9][10]。

许可证语法

许可证的识别方式为其完整名称（例如Mozilla Public License 2.0"）以及较短的名称（例如MPL-2.0）。 许可证可以用运算符AND或OR组合，也可以加上分组(, )。

例如(Apache-2.0 OR MIT)表示可以选择Apache-2.0（Apache许可证）或MIT （MIT许可证）。而(Apache-2.0 AND MIT)表示这二个都要符合。

也可使用"+"运算符，配合许可证使用，表示也可以使用该许可证较新的版本。例如Apache-1.1+表示Apache-1.1、Apache-2.0、或是更新的版本都可以适用。

SPDX在软件许可证的地方，准确的叙述其许可证。SPDX不打算将许可证分类，例如将类似BSD许可证的许可证分类成"BSD-like"^[11]。

欧洲联盟委员会在2020年发行了Joinup Licensing Assistant^[12]，可以在超过50种的许可证之间比较及选择，可以使用其SPDX识别符以及完整名称。

已不使用的许可证识别符

GNU家族的许可证（例如GNU GPLv2）有选项可以延伸到更新的版本。但对于SPDX表示法，就无法确定GPL-2.0是指“只有GPL 2.0版”还是“GPL 2.0版或更新版本”^[13]。因此，自从SPDX 3.0版的许可证列表开始，GNU家族的许可证有新的名称^[14]。GPL-2.0-only表示“只有GPL 2.0版”，而GPL-2.0-or-later表示“GPL 2.0版或更新版本”。

使用

许可

SPDX许可证识别符可以加在源代码文件的最前面，用短的字符串准确的说明使用的许可证。SPDX-License-Identifier语法由Das U-Boot在2013年提出，在2017年成为SPDX 2.1版中的一部分。欧洲自由软件基金会（英语：FSFE）提出了REUSE，是可以检查注解，快速的取出许可证信息的工具^[15]。

SPDX许可证识别符也用在许多的软件包管理系统中，例如Npm^[16]、Python^[17]及Rust cargo^[18]。Fedora Linux里RPM程序包元数据使用SPDX许可证识别符，取代较早期使用的Callaway系统^[19]。Debian用的则是另一个略有不同的许可证规格^[20]。

相关条目

• 许可扩散（英语：License proliferation）