Вы здесь:

SPDX-документ

Вопрос: Имеет ли программный пакет связанный с ним документ SPDX как стандартное выражение зависимостей, лицензирования и вопросов безопасности?

Обзор

Эта метрика оценивает, имеет ли программный пакет связанный документ обмена данными о программных пакетах (SPDX) для выражения зависимостей, лицензирования и проблем, связанных с безопасностью. Документ SPDX предоставляет важную информацию по управлению для понимания и управления программным обеспечением с открытым исходным кодом в сложных цепочках поставок. Он предлагает стандартизированное представление зависимостей, лицензий и соображений безопасности как для внутреннего использования, так и для последующего распространения программных пакетов. Наличие документа SPDX может поддерживать процедуры управления рисками с открытым исходным кодом организации и интегрироваться с ее общей стратегией с открытым исходным кодом.

Хотите знать больше?

Нажмите, чтобы узнать больше об этом показателе.

Стратегии сбора данных

Определите, доступен ли для проекта документ SPDX либо через файлы публичного репозитория, либо через внутренние записи.
Используйте такие инструменты, как Augur-SPDX, для сканирования репозиториев проектов и создания документа SPDX, если такового не существует.

Фильтры

авгур-SPDX использовался для сканирования репозитория GitHub Zephyr. Вот лицензии, идентифицированные при сканировании в формате JSON:

{
  "0": "Apache-2.0",
  "1": "BSD-2-Clause",
  "2": "BSD-3-Clause",
  "3": "GPL-2.0",
  "4": "GPL-2.0+",
  "5": "GPL-3.0+",
  "6": "ISC",
  "7": "MIT"
  "8": "BSD-4-Clause-UC",
  "9": "CC0-1.0"
}

Этот документ был сгенерирован Augur.

Визуализация

СБОМ Рисунок 1: Обзор спецификации программного обеспечения (SBOM) с использованием структуры документа SPDX

Соавторы

Шон Гоггинс
Элизабет Бэррон
Йигакпоа Л. Икпае

Дополнительная информация

Чтобы изменить эту метрику, пожалуйста Подайте запрос на изменение здесь Для ссылки на эту метрику в программном обеспечении или публикациях используйте этот стабильный URL-адрес: https://chaoss.community/?p=3968

Использование и распространение показателей работоспособности может привести к нарушению конфиденциальности. Организации могут быть подвержены рискам. Эти риски могут проистекать из соблюдения GDPR в ЕС, законодательства штата в США или других законов. Также могут быть контрактные риски, вытекающие из условий обслуживания для поставщиков данных, таких как GitHub и GitLab. Использование метрик должно быть проверено на предмет рисков и потенциальных проблем с этикой данных. Посмотри пожалуйста Документ по этике данных CHAOSS для дополнительных указаний.

Была ли эта статья полезна?

Подобно 0 нелюбовь 0

Cookie	Длительность	Описание
cookielawinfo-Checkbox-аналитика	за 11 месяцев	Этот файл cookie устанавливается плагином GDPR Cookie Consent. Файл cookie используется для хранения согласия пользователя на использование файлов cookie в категории «Аналитика».
Cookielawinfo-checkbox-функциональный	за 11 месяцев	Файл cookie устанавливается в соответствии с GDPR, чтобы записать согласие пользователя на использование файлов cookie в категории «Функциональные».
cookielawinfo-Флажок-необходимо	за 11 месяцев	Этот cookie устанавливается плагином GDPR Cookie Consent. Файлы cookie используются для хранения согласия пользователя для файлов cookie в категории «Необходимые».
Cookielawinfo-checkbox-другие	за 11 месяцев	Этот файл cookie устанавливается плагином GDPR Cookie Consent. Файл cookie используется для хранения согласия пользователя на использование файлов cookie в категории «Другое».
cookielawinfo-Флажок эффективность	за 11 месяцев	Этот файл cookie устанавливается плагином GDPR Cookie Consent. Файл cookie используется для хранения согласия пользователя на использование файлов cookie в категории «Производительность».
viewed_cookie_policy	за 11 месяцев	Файл cookie устанавливается плагином GDPR Cookie Consent и используется для хранения информации о том, дал ли пользователь согласие на использование файлов cookie. Он не хранит никаких личных данных.