SPDX 1.0 standardisiert Lizenzinformationen für Open Source

Die SPDX-Arbeitsgruppe der Linux Foundation hat die Version 1.0 der Spezifikation Software Package Data Exchange fertiggestellt. Die SPDX-Spezifikation soll es Unternehmen, die in ihren Produkten Open-Source-Software einsetzen, erleichtern, die Lizenzbedingungen der Software einzuhalten. An der Spezifikation haben unter anderem Alcatel-Lucent, Black Duck Software, Canonical, HP, Motorola Mobility, OpenLogic, Source Auditor, Texas Instruments und Wind River mitgearbeitet.

SPDX definiert ein Standard-Dateiformat für Lizenz- und Copyright-Informationen, das sich automatisiert auswerten lassen soll, um die Anforderungen zu bestimmen, die für das Produkt gelten. Dabei werden eine Vielzahl von Lizenzen abgedeckt. Die Spezifikation ist Teil des Programms Open-Compliance der Linux Foundation, das alle Elemente bereitstellen will, die nötig sind, um Open Source in Produktionsprozesse zu integrieren. Die Black Duck Suite, ein Tool zur Steuerung der Nutzung von Open Source in Entwicklungsprozessen in Unternehmen, unterstützt bereits SPDX 1.0. (odi)