SPDX-документ
Вопрос. Есть ли у программного пакета связанный с ним документ SPDX в качестве стандартного описания зависимостей, лицензирования и проблем, связанных с безопасностью?
Описание
Пакет программного обеспечения имеет связанный документ SPDX в качестве стандартного описания зависимостей, лицензирования и проблем, связанных с безопасностью. Дополнительную информацию о спецификации SPDX можно найти по адресу: https://spdx.org/
Цели
Для менеджеров, приобретающих программное обеспечение с открытым исходным кодом как часть портфолио ИТ или Open Source Program Office, документ SPDX предоставляет все более важную основную часть управленческой информации. Это связано с тем, что, поскольку пакеты программного обеспечения существуют в сложных цепочках поставок программного обеспечения, важно четко и стандартизированным образом выразить связанные с этим пакетом зависимости, лицензии и проблемы, связанные с безопасностью. Документ SPDX представляет собой единый источник информации как для внутреннего использования, так и для последующего распространения пакетов программного обеспечения. Документ SPDX помогает организациям организовать работу с открытым исходным кодом для лучшей интеграции со своими собственными процедурами управления рисками с открытым исходным кодом.
Реализация
Использование и распространение показателей работоспособности может привести к нарушению конфиденциальности. Организации могут быть подвержены рискам. Эти риски могут проистекать из соблюдения GDPR в ЕС, законодательства штата в США или другого законодательства. Также могут быть контрактные риски, вытекающие из условий обслуживания для поставщиков данных, таких как GitHub и GitLab. Использование метрик должно быть проверено на предмет рисков и потенциальных проблем с этикой данных. Посмотри пожалуйста Документ по этике данных CHAOSS для дополнительных указаний.
Фильтры
авгур-SPDX использовался для сканирования репозитория GitHub Zephyr. Вот лицензии, идентифицированные при сканировании в формате JSON:
{
"0": "Apache-2.0",
"1": "BSD-2-Clause",
"2": "BSD-3-Clause",
"3": "GPL-2.0",
"4": "GPL-2.0+",
"5": "GPL-3.0+",
"6": "ISC",
"7": "MIT"
"8": "BSD-4-Clause-UC",
"9": "CC0-1.0"
}
Этот документ был сгенерирован Augur.
Инструменты, предоставляющие метрику
- DoSOCSv2 встроенный как Авгур Обслуживание. Пофайловый документ SPDX доступен в Augur, настроенном с помощью подключаемого модуля DoSOCSv2. Соответствующие части схемы базы данных показаны ниже.
-
Авгур-SPDX встроенный как Авгур Обслуживание. Пофайловый документ SPDX доступен в Augur, сконфигурированном с помощью подключаемого модуля augur-spdx, производного от DOSOCS. Соответствующие части схемы базы данных показаны ниже. Эта реализация является ответвлением DoSOCSv2.
- Packages
- Пакет_файлы
- Файлы (которые могут быть, но вряд ли будут также включены в другие пакеты). Информация о лицензии включена как часть SBOM, но сложность идентификации лицензии уточняется в License_Count, Лицензия_Покрытиекачества License_Declared метрики.
Рекомендации
Чтобы изменить этот показатель, отправьте запрос на изменение здесь: https://github.com/chaoss/wg-risk/blob/main/focus-areas/licensing/spdx-document.md
Чтобы ссылаться на этот показатель в программном обеспечении или публикациях, используйте этот стабильный URL-адрес: https://chaoss.community/?p=3968.
Использование и распространение показателей работоспособности может привести к нарушению конфиденциальности. Организации могут быть подвержены рискам. Эти риски могут проистекать из соблюдения GDPR в ЕС, законодательства штата в США или других законов. Также могут быть контрактные риски, вытекающие из условий обслуживания для поставщиков данных, таких как GitHub и GitLab. Использование метрик должно быть проверено на предмет рисков и потенциальных проблем с этикой данных. Посмотри пожалуйста Документ по этике данных CHAOSS для дополнительных указаний.