SPDX
standard permettant de communiquer les licences Open Source associés à un package logiciel
From Wikipedia, the free encyclopedia
SPDX (de l'anglais : System Package Data Exchange, anciennement Software Package Data Exchange) est un format ouvert utilisé pour documenter des systèmes comportant des composants numériques sous forme de nomenclatures telles que les SBOM[1]. C'est aussi le nom du groupe de travail qui le rédige, composé de plus de vingt organisations différentes, sous les auspices de la Fondation Linux.
| Abréviation | SPDX |
|---|---|
| Status | Publiée |
| Année de démarrage | 2011 |
| Version | 3.0.1 (décembre 2024) |
| Organisation | Fondation Linux |
| Comité | SPDX Project |
| Standards de base | ISO/IEC 5962:2021 |
| Domaine | SBOM |
| Site internet | spdx.dev |
SPDX tente de standardiser la façon dont les entreprises publient leurs métadonnées sur les composants des systèmes logiciels, les licences de logiciels et de leurs composants, les modèles d'IA, les versions, les données de sécurité... Elle a pour but de faciliter la mise en conformité des organisations vis-à-vis de leurs obligations concernant les logiciels qu'ils utilisent, modifient et diffusent[2].
Historique
À l'origine, SPDX avait pour objectif d'améliorer la conformité des licences, mais il a depuis été étendu pour faciliter d'autres cas d'utilisation, tels que la transparence et la sécurité de la chaîne d'approvisionnement logicielle.
La version 2.2 est publiée en [3]. Parallèlement, la liste d'identifiants de licences est en version 3.14, publiée le [4].
En août 2021, SPDX est devenu une norme ISO : ISO/CEI 5962:2021.
La version 2.3 est publiée en août 2022.
La version actuelle de la spécification est la 3.0.1 publiée initialement en avril 2024, puis modifié en décembre 2024[5],[6]. Cette nouvelle version étend les possibilités du modèle SPDX, ce qui a conduit à changer le nom de Software Package Data Exchange à System Package Data Exchange[7].
Syntaxe des licences
Chaque licence est identifiée par un nom complet, par exemple « Mozilla Public License 2.0 » et un identifiant court, ici « MPL-2.0 ». Les licences peuvent être combinées entre elles par les opérateurs AND (et) et OR (ou).
Par exemple, (LGPL-2.1 OR MIT) signifie que l'on a le choix entre la licence LGPL-2.1 (GNU Lesser General Public License v2.1 only) ou la licence MIT (MIT License).
Au contraire, (LGPL-2.1 AND MIT) signifie que les deux licences s'appliquent.
Il existe également un opérateur « + » qui, appliqué à une licence, signifie que les versions ultérieures de la licence s'appliquent. Par exemple, Apache-1.1+ signifie que Apache-1.1 et Apache-2.0 peuvent s'appliquer (ainsi que de futures versions le cas échéant).
Identifiants de licence obsolètes
À partir de la version 2.0, les identifiants tels que GPL-2.0 ou GPL-2.0+ sont obsolètes.
Il faut utiliser à la place GPL-2.0-only ou GPL-2.0-or-later [8].
