Échange de données sur les progiciels - Software Package Data Exchange
Software Package Data Exchange ( SPDX ) est une norme ouverte pour la nomenclature logicielle (SBOM) . SPDX permet l'expression de composants, licences , droits d'auteur, références de sécurité et autres métadonnées relatives aux logiciels. Son objectif initial était d'améliorer la conformité des licences et a depuis été étendu pour faciliter des cas d'utilisation supplémentaires, tels que la transparence et la sécurité de la chaîne d'approvisionnement. SPDX est créé par le projet SPDX piloté par la communauté sous les auspices de la Linux Foundation .
La version actuelle de la norme est la 2.2.
Historique des versions
La version actuelle de la norme est la 2.2 et a été ratifiée en mai 2020.
La version 2.1 a été ratifiée en novembre 2016.
Depuis août 2021, SPDX est une norme ISO, ISO/IEC 5962:2021 Technologies de l'information — SPDX® Specification V2.2.1 .
Syntaxe de licence
Chaque licence est identifiée par un nom complet, tel que "Mozilla Public License 2.0" et un identifiant court, ici "MPL-2.0". Les licences peuvent être combinées par opérateurs AND
et OR
, et regroupement (
, )
.
Par exemple, (Apache-2.0 OR MIT)
signifie que l'on peut choisir entre Apache-2.0
( Licence Apache ) ou MIT
( Licence MIT ). D'autre part, (Apache-2.0 AND MIT)
signifie que les deux licences s'appliquent.
Il existe également un opérateur "+", lorsqu'il est appliqué à une licence, cela signifie que les futures versions de la licence s'appliquent également. Par exemple, Apache-1.1+
signifie que Apache-1.1
et Apache-2.0
peut s'appliquer (et les versions futures le cas échéant).
SPDX décrit les conditions exactes sous lesquelles un logiciel est concédé sous licence. Il n'essaie pas de catégoriser les licences par type, par exemple en décrivant les licences avec des termes similaires à la licence BSD comme « de type BSD ».
En 2020, la Commission européenne publie son Joinup Licensing Assistant, qui permet la sélection et la comparaison de plus de 50 licences, avec accès à leur identifiant SPDX et au texte intégral.
Identifiants de licence obsolètes
La famille de licences GNU (par exemple, GNU General Public License 2.0) a le choix de choisir une version ultérieure de la licence intégrée. Parfois, il n'était pas clair si l'expression SPDX GPL-2.0
signifiait « exactement la version GPL 2.0 » ou « la version GPL 2.0 ou toute version ultérieure". Ainsi, depuis la version 3.0 de la liste des licences SPDX, la famille de licences GNU a reçu de nouveaux noms. GPL-2.0-only
signifie "exactement la version 2.0" et GPL-2.0-or-later
signifie "version 2.0 ou toute version ultérieure".
Voir également
Les références
Liens externes
- Site officiel
- SPDX sur le site Web de l'ISO
- Programme de conformité ouverte Linux Foundation
- Nathan Willis : Une étude de cas SPDX LWN.net