軟體包資料交換規範

關於網路通訊協定，請見「SPDY」。

軟體包資料交換規範（Software Package Data Exchange）簡稱SPDX，是軟體材料表（SBOM）的開源標準^[1] 。SPDX可以說明軟體元件、軟體授權、著作權、安全參考資料以及其他有關軟體的元資料^[2]，其原始的設計目的是要提昇授權條款的相容性^[3]，之後也增加了額外的使用例，像是供應鏈的透明度以及安全性^[4]。SPDX是由Linux基金會主持，由社群驅動的SPDX計劃所撰寫。

狀態	已發佈
首次出版	2011年8月 (2011-08)
最新版本	3.0 2024年4月 (2024-04)
組織	Linux基金會
委員會	SPDX Project
領域	軟體材料表
授權條款	CC-BY-3.0
縮寫	SPDX
網站	spdx.dev

SPDX標準的最新版本是2024年4月釋出的3.0版本。^[5]

結構

SPDX標準定義了軟體材料表的檔案，其中包括了有關軟體的SPDX元資料。此檔案可以用JSON、YAML、RDF/XML、tag-value及試算表的形式表示。每一份SPDX檔案會敘述一個或多個元件，可能是軟體包、特定的檔案，或是檔案的某一部份。每一個元件都有唯一的識別碼，因此各元件可以互相參照^[6]。

歷史

SPDX規格的第1版是在2011年8月發佈的，原始的設計目的是要簡化軟體授權相容確認^[3]，不過後續的版本加入了可以用在其他用途的功能，例如可以包括已知軟體漏洞的參考資訊^[7]。近期的SPDX已符合美國國家電信暨資訊管理局（英語：National Telecommunications and Information Administration）（NTIA）提出的「軟體材料表中的基本元素」^[8]。

SPDX 2.2.1於2020年10月提交到國際標準化組織，在2021年8月發行，成為ISO/IEC 5962:2021 Information technology — SPDX® Specification V2.2.1^[9][10]。

授權條款語法

授權條款的識別方式為其完整名稱（例如Mozilla Public License 2.0"）以及較短的名稱（例如MPL-2.0）。 授權條款可以用運算子AND或OR組合，也可以加上分組(, )。

例如(Apache-2.0 OR MIT)表示可以選擇Apache-2.0（Apache授權條款）或MIT （MIT授權條款）。而(Apache-2.0 AND MIT)表示這二個都要符合。

也可使用"+"運算子，配合授權條款使用，表示也可以使用該授權條款較新的版本。例如Apache-1.1+表示Apache-1.1、Apache-2.0、或是更新的版本都可以適用。

SPDX在軟體授權條款的地方，準確的敘述其授權條款。SPDX不打算將授權條款分類，例如將類似BSD授權條款的授權條款分類成"BSD-like"^[11]。

歐洲聯盟委員會在2020年發行了Joinup Licensing Assistant^[12]，可以在超過50種的授權條款之間比較及選擇，可以使用其SPDX識別符以及完整名稱。

已不使用的授權條款識別符

GNU家族的授權條款（例如GNU GPLv2）有選項可以延伸到更新的版本。但對於SPDX表示法，就無法確定GPL-2.0是指「只有GPL 2.0版」還是「GPL 2.0版或更新版本」^[13]。因此，自從SPDX 3.0版的授權條款列表開始，GNU家族的授權條款有新的名稱^[14]。GPL-2.0-only表示「只有GPL 2.0版」，而GPL-2.0-or-later表示「GPL 2.0版或更新版本」。

使用

授權

SPDX授權條款識別符可以加在原始碼檔案的最前面，用短的字串準確的說明使用的授權條款。SPDX-License-Identifier語法由Das U-Boot在2013年提出，在2017年成為SPDX 2.1版中的一部份。歐洲自由軟體基金會（英語：FSFE）提出了REUSE，是可以檢查註解，快速的取出授權條款資訊的工具^[15]。

SPDX授權條款識別符也用在許多的軟體套件管理系統中，例如Npm^[16]、Python^[17]及Rust cargo^[18]。Fedora Linux裡RPM程式包元資料使用SPDX授權條款識別符，取代較早期使用的Callaway系統^[19]。Debian用的則是另一個略有不同的授權條款規格^[20]。

相關條目

• 授權擴散（英語：License proliferation）