热门问题
时间线
聊天
视角

软件包资料交换规范

来自维基百科,自由的百科全书

Remove ads

软件包资料交换规范(Software Package Data Exchange)简称SPDX,是软件材料表(SBOM)的开源标准[1] 。SPDX可以说明软件组件、软件许可、著作权、安全参考资料以及其他有关软件的元数据[2],其原始的设计目的是要提升许可证的兼容性[3],之后也增加了额外的使用例,像是供应链的透明度以及安全性[4]。SPDX是由Linux基金会主持,由社群驱动的SPDX计划所撰写。

事实速览 状态, 首次出版 ...

SPDX标准的最新版本是2024年4月发布的3.0版本。[5]

结构

SPDX标准定义了软件材料表的文件,其中包括了有关软件的SPDX元数据。此文件可以用JSON、YAML、RDF/XML、tag-value及表格的形式表示。每一份SPDX文件会叙述一个或多个组件,可能是软件包、特定的文件,或是文件的某一部分。每一个组件都有唯一的标识符,因此各组件可以互相引用[6]

历史

SPDX规格的第1版是在2011年8月发布的,原始的设计目的是要简化软件许可兼容确认[3],不过后续的版本加入了可以用在其他用途的功能,例如可以包括已知软件漏洞的参考信息[7]。近期的SPDX已符合美国国家电信暨信息管理局英语National Telecommunications and Information Administration(NTIA)提出的“软件材料表中的基本元素”[8]

SPDX 2.2.1于2020年10月提交到国际标准化组织,在2021年8月发行,成为ISO/IEC 5962:2021 Information technology — SPDX® Specification V2.2.1[9][10]

许可证语法

许可证的识别方式为其完整名称(例如Mozilla Public License 2.0")以及较短的名称(例如MPL-2.0)。 许可证可以用运算符ANDOR组合,也可以加上分组(, )

例如(Apache-2.0 OR MIT)表示可以选择Apache-2.0Apache许可证)或MITMIT许可证)。而(Apache-2.0 AND MIT)表示这二个都要符合。

也可使用"+"运算符,配合许可证使用,表示也可以使用该许可证较新的版本。例如Apache-1.1+表示Apache-1.1Apache-2.0、或是更新的版本都可以适用。

SPDX在软件许可证的地方,准确的叙述其许可证。SPDX不打算将许可证分类,例如将类似BSD许可证的许可证分类成"BSD-like"[11]

欧洲联盟委员会在2020年发行了Joinup Licensing Assistant[12],可以在超过50种的许可证之间比较及选择,可以使用其SPDX识别符以及完整名称。

已不使用的许可证识别符

GNU家族的许可证(例如GNU GPLv2)有选项可以延伸到更新的版本。但对于SPDX表示法,就无法确定GPL-2.0是指“只有GPL 2.0版”还是“GPL 2.0版或更新版本”[13]。因此,自从SPDX 3.0版的许可证列表开始,GNU家族的许可证有新的名称[14]GPL-2.0-only表示“只有GPL 2.0版”,而GPL-2.0-or-later表示“GPL 2.0版或更新版本”。

使用

许可

SPDX许可证识别符可以加在源代码文件的最前面,用短的字符串准确的说明使用的许可证。SPDX-License-Identifier语法由Das U-Boot在2013年提出,在2017年成为SPDX 2.1版中的一部分。欧洲自由软件基金会英语FSFE提出了REUSE,是可以检查注解,快速的取出许可证信息的工具[15]

SPDX许可证识别符也用在许多的软件包管理系统中,例如Npm[16]、Python[17]及Rust cargo[18]Fedora LinuxRPM程序包元数据使用SPDX许可证识别符,取代较早期使用的Callaway系统[19]。Debian用的则是另一个略有不同的许可证规格[20]

相关条目

参考资料

外部链接

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.

Remove ads