В среду Linux Foundation и FOSSBazaar выпустили новую спецификацию для облегчения выполнения условий лицензирования программного обеспечения с открытым исходным кодом.
Пакет программного обеспечения обмена данными (Software Package Data Exchange - SPDX) - это спецификация обмена, которая отслеживает информацию о лицензии в стандартизированной форме и позволяет ее перемещения по цепочке поставок ПО.
С момента своего появления ПО с открытым исходным кодом по природе своей предназначено для совместной работы и любой новый проект часто содержит в себе фрагменты других проектов с открытым исходным кодом, каждый из которых соответствует другой лицензии. Ко времени, когда проект реализуется в предприятии, ИТ-специалисты могут даже не знать всех положений лицензии, прилагаемых к коду.
Прежде чем начать проект внедрения, компании хотят знать о существующих лицензионных ограничениях. При помощи более 2000 лицензий на бесплатное ПО в сети Интернет сделать это нелегко. Можно столкнуться с лицензиями, где программист просит прислать не деньги, а пива, и с семейством платформно-зависимых лицензий GPL на такие продукты, как Apache и Eclipse.
В каждой лицензии имеются определения того, как это ПО может использоваться и распространяться. Сегодня несколько компаний предлагают инструменты и сервисы для аудита используемого кода: Black Duck Software, OpenLogic, FOSSology и Pathology. Но даже если компания прошла такой аудит, а затем каждый участник проекта внес в него свой вклад и вдумчиво документировал лицензии и информацию об авторских правах каждой части измененного ПО, не существует общепринятого способа обмена этими данными, так что, они могут передаваться другим пользователям без ограничений.Михаил Рожков, PARMA TG: Большинство наших BPM-проектов выходят за рамки отдельных процессов и организаций
Дейв МакЛафлин (Dave McLoughlin), аудитор систем с открытым кодом компании OpenLogic считает, что SPDX решает эту проблему. Файл SPDX будет передаваться с программным проектом, как файл, входящий в его состав. Он использует специальный формат сбора конкретных данных о каждом проекте, включая лицензию и версию. Рано или поздно будут созданы инструменты, позволяющие генерировать файлы SPDX из файлов других форматов. К примеру, если команда разработчиков использовала электронную таблицу для отслеживания информации о лицензировании, это будут такие инструменты, которые позволят конвертировать табличные данные в файл SPDX.
Рабочая группа SPDX надеется, что в конечном итоге все поставщики коммерческого программного обеспечения будут поддерживать эту спецификацию. Сегодня она доступна под номером 1.0 и предприятиям необходимо узнать у своих поставщиков ПО с открытым исходным кодом о поддержке SPDX и как они ее реализуют.
Группа компаний, среди которых есть промышленные тяжеловесы, принимает участие в проекте и оказывает ему поддержку: Alcatel-Lucent, Antelink, Black Duck Software, Canonical, HP, Micro Focus, Motorola Mobility, nexB Inc, OpenLogic, Palamida, Protecode, Source Auditor, Texas Instruments и Wind River.