Font Size

Cpanel

SPDX 2.0 freigegeben

Am 12. Mai 2015 hat die Linux Foundation die Version 2.0 des SPDX-Standards verkündet. SPDX steht für Software Package Data Exchange und beschreibt ein Standardformat, mit dem der Umgang mit Lizenzinformationen von quelloffener Software insbesondere in Unternehmen vereinfacht werden soll.

Die Freigabe der Version 1.0 liegt bereits mehrere Jahre zurück. So berichtete embedded-linux.de bereits 2011 über den SPDX-Standard. Ursprünglich geht die Idee für den SPDX-Standard sogar auf das Jahr 2010 zurück, in dem das Open Compliance Programm durch die Linux Foundation vorgestellt wurde.

Für die jetzt freigegebene Version wird insbesondere hervorgehoben, dass sich SPDX-Dokumente nun auch gegenseitig referenzieren lassen, sodass ein dreidimensionales Abbild der Lizenzabhängigkeiten dargestellt werden kann. So kann beispielsweise ein Gerätehersteller auf einfache Weise verstehen, welche quelloffene Software für die Erstellung der Gerätekomponenten verwendet wurde, welche Softwareversionen eingesetzt werden und welche Module integriert wurden. Um diese Abhängigkeitsbeziehungen darstellen zu können, wurden neue Features implementiert, die eine tiefer gehende Beschreibung der Dateiinhalte und Pakete erfordert – auch für solche, die nicht unter die SPDX-Spezifikation fallen.

Daneben weist die neue Version noch weitere Neuerungen auf:

  • Beschreibung mehrerer Pakete in einem einzigen SPDX-Dokument.
  • Erweiterte Anmerkungen für jedes spezifische Element in einem SPDX-Dokument.
  • Unterstützung weiterer Dateitypen und Prüfsummen-Algorithmen.
  • Referenzierung von Software aus Versionsverwaltungssystemen zusätzlich zu Download-Software.

An der Entwicklung des Standards waren mehr als 20 Organisationen beteiligt, darunter beispielsweise Alcatel-Lucent, ARM, Black Duck Software, Cisco, HP, Linaro, Micro Focus, nexB, Palamida, Pelagicore, Protecode, Source Auditor, Qualcomm, Samsung, Texas Instruments, University of Nebraska Omaha, University of Victoria und Wind River.

Weitere Informationen können der Ankündigung der Linux Foundation und der SPDX-Pressemitteilung entnommen werden.