مستند SPDX

السؤال: هل تحتوي حزمة البرامج على مستند SPDX مرتبط كتعبير قياسي عن التبعيات والترخيص والمشكلات المتعلقة بالأمان؟

نظرة عامة

يقيم هذا المقياس ما إذا كانت حزمة البرامج تحتوي على مستند تبادل بيانات حزمة البرامج (SPDX) المرتبط بها للتعبير عن التبعيات والترخيص والمشكلات المتعلقة بالأمان. يوفر مستند SPDX معلومات إدارية أساسية لفهم وإدارة البرامج مفتوحة المصدر ضمن سلاسل التوريد المعقدة. كما يقدم عرضًا موحدًا للتبعيات والتراخيص واعتبارات الأمان لكل من الاستخدام الداخلي والتوزيع اللاحق لحزم البرامج. يمكن أن يدعم وجود مستند SPDX إجراءات إدارة مخاطر المصدر المفتوح للمؤسسة ويتكامل مع استراتيجيتها العامة للمصدر المفتوح.

اريد معرفة المزيد؟

انقر هنا لقراءة المزيد حول هذا المقياس.

استراتيجيات جمع البيانات

  • قم بتحديد ما إذا كان المشروع يحتوي على مستند SPDX متاحًا، إما من خلال ملفات المستودع العام أو السجلات المُدارة داخليًا.
  • استخدم أدوات مثل Augur-SPDX لفحص مستودعات المشروع وإنشاء مستند SPDX إذا لم يكن موجودًا.

فلاتر

اوجور- SPDX تم استخدامه لمسح مستودع جيثب نسيم عليل. فيما يلي التراخيص المحددة من الفحص بتنسيق JSON:

{
  "0": "Apache-2.0",
  "1": "BSD-2-Clause",
  "2": "BSD-3-Clause",
  "3": "GPL-2.0",
  "4": "GPL-2.0+",
  "5": "GPL-3.0+",
  "6": "ISC",
  "7": "MIT"
  "8": "BSD-4-Clause-UC",
  "9": "CC0-1.0"
}

تم إنشاء هذا المستند بواسطة Augur.

المرئيات

سبوم الشكل 1: نظرة عامة على قائمة مواد البرنامج (SBOM) باستخدام بنية مستند SPDX


مراجع حسابات

المساهمين

  • شون جوجينز
  • إليزابيث بارون
  • ييغاكبو ل. إيكباي

معلومات اضافية

لتحرير هذا المقياس، يرجى قم بتقديم طلب التغيير هنا للإشارة إلى هذا المقياس في البرامج أو المنشورات، يرجى استخدام عنوان URL الثابت التالي: https://chaoss.community/?p=3968

قد يؤدي استخدام المقاييس الصحية ونشرها إلى انتهاكات الخصوصية. قد تتعرض المنظمات للمخاطر. قد تتدفق هذه المخاطر من الامتثال للائحة العامة لحماية البيانات في الاتحاد الأوروبي ، أو مع قانون الولاية في الولايات المتحدة ، أو مع قوانين أخرى. قد تكون هناك أيضًا مخاطر تعاقدية ناتجة عن شروط الخدمة لموفري البيانات مثل GitHub و GitLab. يجب فحص استخدام المقاييس بحثًا عن المخاطر ومشكلات أخلاقيات البيانات المحتملة. لطفا أنظر وثيقة أخلاقيات البيانات CHAOSS للحصول على إرشادات إضافية.

الرسوم (تاج):
هل كان المقال مساعدا؟!
كراهية 0