17 августа на конференции LinuxCon в Ванкувере (Британская Колумбия, Канада) Linux Foundation (LF) анонсировала Open Compliance Program, которая должна помочь компаниям соблюдать требования лицензий на использование открытых исходных кодов. Практическая часть программы включает в себя тренинги, консультации, перечень контрольных вопросов для самоконтроля, инструменты для проверки зависимостей, анализ ВоМ, редактирование кода.
Центральной частью программы стал типовой формат для представления лицензионной информации для использования программного обеспечения, называемый Software Package Data Exchange или SPDX. Рабочая группа SPDX выпустила версию 1.0 под лицензией Creative Commons Attribution License 3.0, положив в основу спецификации работу, проделанную в FOSSBazaar community.
В числе участников рабочей группы SPDX: Alcatel-Lucent, Antelink, Black Duck Software, Canonical, HP, Motorola Mobility, nexB Inc, OpenLogic, Palamida, Protecode, Source Auditor, Texas Instruments и Wind River. В разработке бета-версии проекта SPDX была задействована меньшая рабочая группа: Antelink, HP, Motorola Mobility, Texas Instruments и Wind River.
Большинство организаций уже дали свои рекомендательные отзывы, некоторые из которых приводятся ниже. В частности, ряд отзывов вносят конкретные предложения по практическому использованию стандарта SPDX в продуктах самого широкого диапазона — от коммерческих поисковых систем до внутриорганизационных систем соответствия определенным требованиям.
В дополнение, по заявлениям LF, соглашение SPDX по присвоению имен было адаптировано Open Source Initiative (OSI) для своего репозитория лицензий на софт с открытым исходным кодом.
В борьбе за соответствие стандартов
Из-за сложности современного многокомпонентного программного обеспечения, которое еще более усложняется благодаря широчайшей всемирной сети его поставщиков, подготовка лицензионной информации для спецификаций на компоненты ПО и другой документации, по мнению LF, занимает слишком много времени. И это еще более усугубляется существованием множества отличных друг от друга форматов и терминов используемых для описания компонентов.
SPDX предоставляет информацию для описания компонентов, а также лицензионную и копирайтовую информацию в общем стандарте, что позволяет компаниям упростить задачу соответствия формату лицензий, распространяемых с открытым исходным кодом. Настоящий стандарт определяет типовой формат файла для пакета ПО и всех файлов, которые в него входят. В дополнение, специалисты из сообщества SPDX предлагают ряд инструментов с открытыми исходниками для конвертации SPDX-файлов в формат электронной таблицы и обратно.
Совместимость с Debian DEP-5
Несмотря на то, что LF не заявляет об этом в открытую, SPDX является отчасти совместимым с Debian-ориентированными стандартами, а именно — со стандартом DEP-5 (его иногда называют DEP5). Сайт DEP-5 также упоминает об этом, как и некоторые его сторонники в своих одобрительных отзывах, включая Стива Лангасека, со-редактора Debian DEP-5.
“Наличие согласованного способа описывать лицензии, а именно совместно используемого Debian DEP5 и рабочей группой SPDX, поможет всей экосистеме предоставлять более точную лицензионную информацию для бесплатно распространяемых проектов”, — считает Лангасек.
Эстебан Рокет, со-учредитель SPDX и ведущий консультант по ПО в Motorola Mobility, заявил: “Сегодня мы наблюдаем единодушное признание SPDX 1.0 экспертами отрасли. Это уменьшает возможные опасения за несоответствие стандартам и сокращает расходы, а также способствует дальнейшему более широкому признанию Linux и другого бесплатного ПО и софта с открытыми исходниками”.
Ибен Моглен, исполнительный директор Software Freedom Law Center говорит: “Усилия рабочей группы SPDX в конечном счете значительно сократят расходы всех кампаний использующих встроенное бесплатное ПО с коммерческой целью, а также в определенной мере гарантирует лицензиару софта распространяемого с открытыми исходниками соответствие лицензии лицензионным требованиям”.
Джим Землин, исполнительный директор The Linux Foundation добавляет: “Наши аплодисменты рабочей группе SPDX за проделанную работу и предоставление упорядоченного способа описывать и просматривать лицензионную информацию для компонент ПО”.
На LinuxCon рабочая группа Linux Foundation SPDX представила первую версию стандарта SPDX 1.0 (Software Package Data Exchange), который является частью Open Compliance Program и описывает общий формат распространения данных о лицензиях на использование программного обеспечения с открытыми кодами и авторского права.