В среду Linux Foundation и FOSSBazaar выпустили новую спецификацию для облегчения выполнения условий лицензирования программного обеспечения с открытым исходным кодом.
Пакет программного обеспечения обмена данными (Software Package Data Exchange - SPDX) - это спецификация обмена, которая отслеживает информацию о лицензии в стандартизированной форме и позволяет ее перемещения по цепочке поставок ПО.
С момента своего появления ПО с открытым исходным кодом по природе своей предназначено для совместной работы и любой новый проект часто содержит в себе фрагменты других проектов с открытым исходным кодом, каждый из которых соответствует другой лицензии. Ко времени, когда проект реализуется в предприятии, ИТ-специалисты могут даже не знать всех положений лицензии, прилагаемых к коду.
Прежде чем начать проект внедрения, компании хотят знать о существующих лицензионных ограничениях. При помощи более 2000 лицензий на бесплатное ПО в сети Интернет сделать это нелегко. Можно столкнуться с лицензиями, где программист просит прислать не деньги, а пива, и с семейством платформно-зависимых лицензий GPL на такие продукты, как Apache и Eclipse.
В каждой лицензии имеются определения того, как это ПО может использоваться и распространяться. Сегодня несколько компаний предлагают инструменты и сервисы для аудита используемого кода: Black Duck Software, OpenLogic, FOSSology и Pathology. Но даже если компания прошла такой аудит, а затем каждый участник проекта внес в него свой вклад и вдумчиво документировал лицензии и информацию об авторских правах каждой части измененного ПО, не существует общепринятого способа обмена этими данными, так что, они могут передаваться другим пользователям без ограничений.TAdviser выпустил Гид по российским операционным системам
Дейв МакЛафлин (Dave McLoughlin), аудитор систем с открытым кодом компании OpenLogic считает, что SPDX решает эту проблему. Файл SPDX будет передаваться с программным проектом, как файл, входящий в его состав. Он использует специальный формат сбора конкретных данных о каждом проекте, включая лицензию и версию. Рано или поздно будут созданы инструменты, позволяющие генерировать файлы SPDX из файлов других форматов. К примеру, если команда разработчиков использовала электронную таблицу для отслеживания информации о лицензировании, это будут такие инструменты, которые позволят конвертировать табличные данные в файл SPDX.
Рабочая группа SPDX надеется, что в конечном итоге все поставщики коммерческого программного обеспечения будут поддерживать эту спецификацию. Сегодня она доступна под номером 1.0 и предприятиям необходимо узнать у своих поставщиков ПО с открытым исходным кодом о поддержке SPDX и как они ее реализуют.
Группа компаний, среди которых есть промышленные тяжеловесы, принимает участие в проекте и оказывает ему поддержку: Alcatel-Lucent, Antelink, Black Duck Software, Canonical, HP, Micro Focus, Motorola Mobility, nexB Inc, OpenLogic, Palamida, Protecode, Source Auditor, Texas Instruments и Wind River.