Linux 基金會為了增進外界對 Linux 平台的認識,贊助若干工作小組進行相關的原創性研究。其中一個工作小組 SPDX 在日前宣佈開放「Software Package Data Exchange (SPDX) 標準」的 1.0 版本,這項新規範將有助減輕遵循開放源碼軟體授權所遭遇的困難。
只要知道應該查詢的資訊,即可輕鬆遵循開放源碼授權,而這正是新 SPDX 標準的功用。Linux 基金會日前在 Vancouver 舉辦 LinuxCon 大會,公開了 SPDX 1.0 版本。 Linux 基金會表示,SPDX 定義的標準檔案格式,列出軟體套件及其檔案的授權與著作權詳細資訊。
此外,SPDX 包含的套件建構與 SPDX 檔案審查者的資訊還能精確對應套件的生命週期。這些資訊不僅可供自動化工具快速撰寫清單還可以計算應滿足的授權需求。如要使用 SPDX 商標,請遵循 SPDX 商標條款的要求,實作 SPDX 1.0 規範中必要部份的檔案。如要使用 SPDX 檔案本身,則必須以 Open Data Commons 的 Public Domain Dedication and Licence (PDDL) 加以授權,以確保能輕易重複使用。
Linux 基金會執行董事 Jim Zemlin 表示,SPDX 解決許多重要趨勢所帶來的問題,其一為各種設備開始大量使用開放源碼軟體,其二為軟體複雜度與重要性的提升。在開放 SPDX 標準之後,透過授權資訊跨越軟體供應鏈的分享方式,使用者較易於遵循自由與開放源碼軟體授權。
Jim Zemlin 還說,他覺得最有趣的地方在於,SPDX 是一項涵蓋產業與開放源碼社群等多利益相關者的集體協作,藉由 SPDX 產業,使用者能更有效地使用開放源碼軟體並遵守相關授權。Zemlin 指出,SPDX 標準 1.0 版本證明開放遵循與協同合作能改善 Linux 和開放源碼軟體。
Zemlin 解釋,SPDX 是一套元數據 (metadata) 標準,廠商可針對此一標準自行驗證。Linux 基金會日後會確保 SPDX 獲得妥善運用。他表示,各方參與者為確保該標準的完整,在 1.0 版本上投入大量的時間與努力。如今開放 1.0 版本,他們期盼大型廠商能支援 SPDX ,並在供應鏈中加以應用。
事實上,SPDX 1.0 里程碑是 LinuxCon 2010 發起之授權遵循計畫的一項延伸。另一項則是專利,常與開放源碼授權遵循議題混為一談。Zemlin 指出軟體專利、SPDX 和授權遵循毫不相關。遵循計畫針對的是授權遵循,其範圍侷限於如何讓開放源碼軟體的使用者能更加易於遵循授權。
Zemlin 表示,針對報告與檢視軟體技術元件授權資訊,SPDX 小組提供的一致性方式值得喝采,此一工作讓企業更容易極大化對自由與開放源碼軟體上的投資。
相關網址:
1. Linux 基金會降低開放源碼授權障礙
https://www.computerweekly.com/blogs/open-source-insider/2011/08/linux-foundation-eases-open-source-licensing-woes.html
2. Linux 遵循到達 SPDX 1.0 里程碑
https://www.linuxplanet.com/news/linux-compliance-hits-milestone-with-spdx-1.0.html
3. 開放 SPDX 1.0 版本,授權遵循更簡單
https://www.h-online.com/open/news/item/SPDX-version-1-0-released-compliance-made-easier-1326735.html
4. Linux 基金會開放降低授權門檻的規範
https://www.networkworld.com/news/2011/081811-linux-foundation-spdx-249857.html
5. Linux 基金會推出 SPDX 旨在簡化授權遵循
https://www.thinq.co.uk/2011/8/23/linux-foundations-spdx-aims-ease-compliance/