Échange de données sur les progiciels - Software Package Data Exchange

Software Package Data Exchange ( SPDX ) est une norme ouverte pour la nomenclature logicielle (SBOM) . SPDX permet l'expression de composants, licences , droits d'auteur, références de sécurité et autres métadonnées relatives aux logiciels. Son objectif initial était d'améliorer la conformité des licences et a depuis été étendu pour faciliter des cas d'utilisation supplémentaires, tels que la transparence et la sécurité de la chaîne d'approvisionnement. SPDX est créé par le projet SPDX piloté par la communauté sous les auspices de la Linux Foundation .

La version actuelle de la norme est la 2.2.

Historique des versions

La version actuelle de la norme est la 2.2 et a été ratifiée en mai 2020.

La version 2.1 a été ratifiée en novembre 2016.

Depuis août 2021, SPDX est une norme ISO, ISO/IEC 5962:2021 Technologies de l'information — SPDX® Specification V2.2.1 .

Syntaxe de licence

Chaque licence est identifiée par un nom complet, tel que "Mozilla Public License 2.0" et un identifiant court, ici "MPL-2.0". Les licences peuvent être combinées par opérateurs ANDet OR, et regroupement (, ).

Par exemple, (Apache-2.0 OR MIT)signifie que l'on peut choisir entre Apache-2.0( Licence Apache ) ou MIT( Licence MIT ). D'autre part, (Apache-2.0 AND MIT)signifie que les deux licences s'appliquent.

Il existe également un opérateur "+", lorsqu'il est appliqué à une licence, cela signifie que les futures versions de la licence s'appliquent également. Par exemple, Apache-1.1+signifie que Apache-1.1et Apache-2.0peut s'appliquer (et les versions futures le cas échéant).

SPDX décrit les conditions exactes sous lesquelles un logiciel est concédé sous licence. Il n'essaie pas de catégoriser les licences par type, par exemple en décrivant les licences avec des termes similaires à la licence BSD comme « de type BSD ».

En 2020, la Commission européenne publie son Joinup Licensing Assistant, qui permet la sélection et la comparaison de plus de 50 licences, avec accès à leur identifiant SPDX et au texte intégral.

Identifiants de licence obsolètes

La famille de licences GNU (par exemple, GNU General Public License 2.0) a le choix de choisir une version ultérieure de la licence intégrée. Parfois, il n'était pas clair si l'expression SPDX GPL-2.0signifiait « exactement la version GPL 2.0 » ou « la version GPL 2.0 ou toute version ultérieure". Ainsi, depuis la version 3.0 de la liste des licences SPDX, la famille de licences GNU a reçu de nouveaux noms. GPL-2.0-onlysignifie "exactement la version 2.0" et GPL-2.0-or-latersignifie "version 2.0 ou toute version ultérieure".

Voir également

• Prolifération des licences

Les références

Liens externes

• Site officiel
• SPDX sur le site Web de l'ISO
• Programme de conformité ouverte Linux Foundation
• Nathan Willis : Une étude de cas SPDX LWN.net