소프트웨어 패키지 데이터 교환

SPDX 로고 (검은 글씨)

Software Package Data Exchange(SPDX)는 [1]SBOM(소프트웨어 Bill of Materials)의 오픈 스탠다드입니다.SPDX를 사용하면 컴포넌트, 라이선스, 저작권,^[2] 보안 참조 및 소프트웨어와 관련된 기타 메타데이터를 표현할 수 있습니다.당초의 목적은 라이센스 ^[3]컴플리언스 향상에 있었습니다.그 후, 서플라이 체인(supply-chain)의 투과성이나 ^[4]시큐러티등의 추가의 유스케이스를 용이하게 하기 위해서 확대되고 있습니다.SPDX는 Linux Foundation의 후원으로 커뮤니티 주도의 SPDX 프로젝트에 의해 작성되었습니다.

이 표준의 현재 버전은 2.2.^[5]2입니다.

버전 이력

사양 버전
버전 번호	발행일자	메모들	레퍼런스
1.0	2011년 8월	SPDX 사양의 첫 번째 릴리스로 패키지를 처리합니다.	^[3]
1.1	2012년 8월	SPDX 패키지 검증 코드(암호화 해시 함수)의 결함을 수정하고 자유 형식 주석 지원을 추가했습니다.	^[6]
1.2	2013년 10월	SPDX 라이센스 목록과의 상호 작용이 향상되고 소프트웨어 프로젝트에 대한 추가 정보를 문서화하기 위한 새 필드가 추가되었습니다.	^[7]
2.0	2015년 5월	여러 패키지와 다른 패키지와 파일 간의 관계를 설명하는 기능이 추가되었습니다.	^[8]
2.1	2016년 11월	코드의 '스니펫' 설명 및 SPDX 이외의 데이터(CVE 등)를 참조하는 기능이 추가되었습니다.	^[9]^[10]
2.2	2020년 5월	소프트웨어 BOM을 최소화하고 외부 참조 지원을 개선하기 위해 'SPDX-Lite' 프로파일을 추가했습니다.	^[11]
2.2.1	2020년 10월	기능적으로는 SPDX 2.2와 동일하지만 ISO 표준으로 발행되는 식자판입니다.	^[12]
2.2.2	2022년 4월	기능적으로는 SPDX 2.2.1과 동일하지만 철자, 문법 및 기타 편집 기능이 향상되었습니다.	^[13]

SPDX 사양의 첫 번째 버전은 소프트웨어 라이선스에 대한 컴플라이언스를 ^[3]용이하게 하기 위한 것이었지만, 이후 버전에서는 기존의 소프트웨어 ^[10]취약성에 대한 참조를 포함할 수 있는 등 다른 사용 사례를 위한 기능이 추가되었습니다.SPDX의 최신 버전은 NTIA의 '소프트웨어 BOM(^[14]Bill of Materials)'에 준거하고 있습니다.

SPDX 2.2.1은 2020년 10월에 국제표준화기구(ISO)에 제출되었으며,^[12]^[15] 2021년 8월에 ISO/IEC 5962:contains Information Technology — SPDX® Specification V2.2.1로 발행되었습니다.

라이선스 구문

각 라이센스는 "Mozilla Public License 2.0"과 같은 전체 이름과 짧은 식별자(여기서는 "MPL-2.0")로 식별됩니다.운영자가 라이센스를 결합할 수 있습니다.AND그리고.OR, 및 그룹화(,).

예를들면,(Apache-2.0 OR MIT)둘 중 하나를 선택할 수 있다는 것을 의미한다Apache-2.0(아파시 라이선스) 또는MIT(MIT 라이선스).반면에,(Apache-2.0 AND MIT)두 라이선스가 모두 적용됨을 의미합니다.

또한 "+" 연산자는 라이센스에 적용되었을 때 향후 버전의 라이센스도 적용됨을 의미합니다.예를들면,Apache-1.1+라는 의미이다Apache-1.1그리고.Apache-2.0적용할 수 있습니다(및 향후 버전이 있는 경우).

SPDX는 소프트웨어의 라이선스를 취득하는 정확한 조건을 나타냅니다.예를 들어 BSD 라이선스와 유사한 용어의 라이선스를 "BSD 유사"^[16]로 기술하는 등 라이선스를 유형별로 분류하려고 하지 않습니다.

2020년에 유럽위원회는 SPDX 식별자와 전문에 대한 액세스와 함께 50개 이상의 라이선스를 선택하고 비교할 수 있는 Join-up Licensing ^[17]Assistant를 발행한다.

사용되지 않는 라이센스 식별자

GNU 패밀리 라이선스(예를 들어 GNU General Public License 버전 2)는 빌트인 라이선스의 최신 버전을 선택할 수 있습니다.SPDX 표현이 명확하지 않을 수 있습니다.GPL-2.0는 "정확한 GPL 버전 2.0" 또는 "GPL 버전 2.0 이후"^[18]를 의미합니다.따라서 SPDX License List 버전 3.0 이후 GNU 라이센스 패밀리는 새로운 이름을 ^[19]갖게 되었습니다. GPL-2.0-only는 「버전 2.0」을 의미합니다.GPL-2.0-or-later는 "버전 2.0 이후"를 의미합니다.

「」를 참조해 주세요.

라이선스의 급증

레퍼런스

^ Stewart, Kate (May 25, 2021). "SPDX: It's Already in Use for Global Software Bill of Materials (SBOM) and Supply Chain Security". Linux Foundation. Retrieved 2021-08-13.
^ "Survey of Existing SBOM Formats and Standards" (PDF). National Telecommunications and Information Administration. October 25, 2019. p. 9. Retrieved 2021-08-13.
^ ^a ^b ^c Bridgwater, Adrian (August 19, 2011). "Linux Foundation eases open source licensing woes". Computer Weekly. Retrieved 2021-08-13.
^ Rushgrove, Gareth (June 16, 2021). "Advancing SBOM standards: Snyk and SPDX". Retrieved 2021-08-14.
^ "SPDX Current version". spdx.dev. Retrieved 2022-06-11.
^ "The Linux Foundation's SPDX Workgroup Releases New Version of Software Package Data Exchange Standard". Linux Foundation. August 30, 2012. Retrieved 2021-12-01.
^ "The Linux Foundation's SPDX Workgroup Releases New Version of Software Package Data Exchange Standard". Linux Foundation. October 22, 2013. Retrieved 2021-12-01.
^ "What's new in SPDX 2.0". LWN.net. May 20, 2015. Retrieved 2021-12-01.
^ "General Meeting/Minutes/2016-11-03". wiki.spdx.org. November 3, 2016. Retrieved 2021-12-01.
^ ^a ^b "The Linux Foundation's Open Compliance Initiative Releases New SPDX Specification". Linux Foundation. October 4, 2016. Retrieved 2021-12-01.
^ "SPDX 2.2 Specification Released". Linux Foundation. May 7, 2020. Retrieved 2021-12-01.
^ ^a ^b "ISO/IEC 5962:2021 Information technology — SPDX® Specification V2.2.1". iso.org. Retrieved 2021-12-01.
^ "Release v2.2.2". github.com/spdx. Retrieved 2022-06-11.
^ "The Minimum Elements For a Software Bill of Materials (SBOM)" (PDF). National Telecommunications and Information Administration. Retrieved 2021-12-01.
^ Bernard, Allen (September 9, 2021). "SPDX becomes internationally recognized standard". TechRepublic. Retrieved 2021-12-01.
^ Odence, Phil (2010-06-23). "The Software Package Data Exchange (SPDX) Format". Dr Dobb's. Retrieved 2012-08-31.
^ "Joinup Licensing Assistant". Retrieved 31 March 2020.
^ Richard Stallman. "For Clarity's Sake, Please Don't Say "Licensed under GNU GPL 2"!". gnu.org. Retrieved 2018-05-24.
^ Jilayne Lovejoy (5 January 2018). "License List 3.0 Released!". spdx.dev. Archived from the original on 2018-01-05. Retrieved 2021-09-02.

외부 링크

[lf-global-use-1] Stewart, Kate (May 25, 2021). "SPDX: It's Already in Use for Global Software Bill of Materials (SBOM) and Supply Chain Security". Linux Foundation. Retrieved 2021-08-13.

[ntia-survey-2] "Survey of Existing SBOM Formats and Standards" (PDF). National Telecommunications and Information Administration. October 25, 2019. p. 9. Retrieved 2021-08-13.

[computer-weekly-3] Bridgwater, Adrian (August 19, 2011). "Linux Foundation eases open source licensing woes". Computer Weekly. Retrieved 2021-08-13.

[snyk-spdx-4] Rushgrove, Gareth (June 16, 2021). "Advancing SBOM standards: Snyk and SPDX". Retrieved 2021-08-14.

[5] "SPDX Current version". spdx.dev. Retrieved 2022-06-11.

[lf-spdx-1.1-6] "The Linux Foundation's SPDX Workgroup Releases New Version of Software Package Data Exchange Standard". Linux Foundation. August 30, 2012. Retrieved 2021-12-01.

[lf-spdx-1.2-7] "The Linux Foundation's SPDX Workgroup Releases New Version of Software Package Data Exchange Standard". Linux Foundation. October 22, 2013. Retrieved 2021-12-01.

[lwn-spdx-2.0-8] "What's new in SPDX 2.0". LWN.net. May 20, 2015. Retrieved 2021-12-01.

[spdx.org-2.1-9] "General Meeting/Minutes/2016-11-03". wiki.spdx.org. November 3, 2016. Retrieved 2021-12-01.

[lf-spdx-2.1-10] "The Linux Foundation's Open Compliance Initiative Releases New SPDX Specification". Linux Foundation. October 4, 2016. Retrieved 2021-12-01.

[lf-spdx-2.2-11] "SPDX 2.2 Specification Released". Linux Foundation. May 7, 2020. Retrieved 2021-12-01.

[iso-spdx-12] "ISO/IEC 5962:2021 Information technology — SPDX® Specification V2.2.1". iso.org. Retrieved 2021-12-01.

[github-spdx-2.2.2-13] "Release v2.2.2". github.com/spdx. Retrieved 2022-06-11.

[ntia-minimum-elements-14] "The Minimum Elements For a Software Bill of Materials (SBOM)" (PDF). National Telecommunications and Information Administration. Retrieved 2021-12-01.

[techrepublic-spdx-iso-15] Bernard, Allen (September 9, 2021). "SPDX becomes internationally recognized standard". TechRepublic. Retrieved 2021-12-01.

[drdobbs-16] Odence, Phil (2010-06-23). "The Software Package Data Exchange (SPDX) Format". Dr Dobb's. Retrieved 2012-08-31.

[17] "Joinup Licensing Assistant". Retrieved 31 March 2020.

[18] Richard Stallman. "For Clarity's Sake, Please Don't Say "Licensed under GNU GPL 2"!". gnu.org. Retrieved 2018-05-24.

[19] Jilayne Lovejoy (5 January 2018). "License List 3.0 Released!". spdx.dev. Archived from the original on 2018-01-05. Retrieved 2021-09-02.

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

v t 리눅스
Linux 커널	역사 리누스의 법칙 Linux-libre Linux 부팅 프로세스 Linux 커널 oops 턱스 기타...
논쟁	Linux에 대한 비판 데스크톱 Linux에 대한 비판 GNU/Linux 명명 논란 타넨바움토발즈 논쟁 SCO 및 Linux
배포	일반 비교 동보 리스트 넷북 고유의 비교 RAM에서 실행되는 배포 경량 보안에 중점을 둔 운영 체제 Linux 전용 소프트웨어 패키지 매니저 패키지 형식 소프트웨어 패키지 관리자 목록
단체들	Linux Chix Linux 카운터 Linux 문서 프로젝트 Linux Foundation Linux Mark Institute Linux 사용자 그룹(LUG)
도입	어답터 데스크톱 내장 게임 모바일. 사용 범위
미디어	디스트로워치 프리 소프트웨어 매거진 풀서클 Linux.com Linux 포맷 리눅스 가제트 Linux 저널 Linux 매거진 Linux 사용자 Ubuntu 사용자 Linux의 무법자 Linux 음성 러그 라디오 LWN.net 포로닉스 혁명 OS 코드
Linux 포털 무료 오픈 소스 소프트웨어 포털 카테고리

Search

소프트웨어 패키지 데이터 교환

네임스페이스

더

목차

버전 이력

라이선스 구문

사용되지 않는 라이센스 식별자

「」를 참조해 주세요.

레퍼런스

외부 링크

Search

소프트웨어 패키지 데이터 교환

버전 이력

라이선스 구문

사용되지 않는 라이센스 식별자

「 」를 참조해 주세요.

레퍼런스

외부 링크

「」를 참조해 주세요.