Font Size

Cpanel

SPDX 2.1 und OpenChain 1.0 veröffentlicht

Am 4. Oktober 2016 hat die Linux Foundation die Version 2.1 der SPDX- sowie die Version 1.0 der OpenChain-Spezifikation veröffentlicht. Beide zielen auf eine Standardisierung von Open Source Compliance, Lizenz-Tracking und Supply Chain Management ab.

Die neue Version des Software Package Data Exchange (SPDX) Dateiformats ermöglicht nun unter anderem die Verwendung so genannter Snippets, mit denen Teile einer Datei identifiziert werden können, die sich vom Rest der Datei in ihren Eigenschaften unterscheiden. Zudem sind Verbesserungen für das Referenzieren externer Pakete und Repositorien eingepflegt worden. In einem neuen Anhang wird darüber hinaus erklärt, wie die SPDX-Identifier verwendet werden können, um die Lizenzen von Dateien eines Quellcodeverzeichnisses abzufragen.

Die erste Spezifikation des OpenChain-Projekts soll Unternehmen bei der Einhaltung von Lizenzbestimmungen bei größeren Software-Zusammenstellungen behilflich sein. Im Gegensatz zu SPDX stehen dabei Probleme aus dem Supply Chain im Fokus. Dafür enthält die Spezifikation beispielsweise eine Police für freie und quelloffene Software (FOSS) sowie für die Schulung von IT-Mitarbeitern, für die Gewährleistung von Compliance durch FOSS-bezogene Regeln, für die Begutachtung von FOSS-Inhalten und weiteren.

Details können der SPDX-Ankündigung und der OpenChain-Ankündigung entnommen werden.