SPDX-документ

Вопрос. Есть ли у программного пакета связанный с ним документ SPDX в качестве стандартного описания зависимостей, лицензирования и проблем, связанных с безопасностью?

Описание

Пакет программного обеспечения имеет связанный документ SPDX в качестве стандартного описания зависимостей, лицензирования и проблем, связанных с безопасностью. Дополнительную информацию о спецификации SPDX можно найти по адресу: https://spdx.org/

Цели

Для менеджеров, приобретающих программное обеспечение с открытым исходным кодом как часть портфолио ИТ или Open Source Program Office, документ SPDX предоставляет все более важную основную часть управленческой информации. Это связано с тем, что, поскольку пакеты программного обеспечения существуют в сложных цепочках поставок программного обеспечения, важно четко и стандартизированным образом выразить связанные с этим пакетом зависимости, лицензии и проблемы, связанные с безопасностью. Документ SPDX представляет собой единый источник информации как для внутреннего использования, так и для последующего распространения пакетов программного обеспечения. Документ SPDX помогает организациям организовать работу с открытым исходным кодом для лучшей интеграции со своими собственными процедурами управления рисками с открытым исходным кодом.

Реализация

Использование и распространение показателей работоспособности может привести к нарушению конфиденциальности. Организации могут быть подвержены рискам. Эти риски могут проистекать из соблюдения GDPR в ЕС, законодательства штата в США или другого законодательства. Также могут быть контрактные риски, вытекающие из условий обслуживания для поставщиков данных, таких как GitHub и GitLab. Использование метрик должно быть проверено на предмет рисков и потенциальных проблем с этикой данных. Посмотри пожалуйста Документ по этике данных CHAOSS для дополнительных указаний.

Фильтры

авгур-SPDX использовался для сканирования репозитория GitHub Zephyr. Вот лицензии, идентифицированные при сканировании в формате JSON:

{
  "0": "Apache-2.0",
  "1": "BSD-2-Clause",
  "2": "BSD-3-Clause",
  "3": "GPL-2.0",
  "4": "GPL-2.0+",
  "5": "GPL-3.0+",
  "6": "ISC",
  "7": "MIT"
  "8": "BSD-4-Clause-UC",
  "9": "CC0-1.0"
}

Этот документ был сгенерирован Augur.

Инструменты, предоставляющие метрику

• DoSOCSv2 встроенный как Авгур Обслуживание. Пофайловый документ SPDX доступен в Augur, настроенном с помощью подключаемого модуля DoSOCSv2. Соответствующие части схемы базы данных показаны ниже.

• Авгур-SPDX встроенный как Авгур Обслуживание. Пофайловый документ SPDX доступен в Augur, сконфигурированном с помощью подключаемого модуля augur-spdx, производного от DOSOCS. Соответствующие части схемы базы данных показаны ниже. Эта реализация является ответвлением DoSOCSv2.

• Packages
• Пакет_файлы
• Файлы (которые могут быть, но вряд ли будут также включены в другие пакеты). Информация о лицензии включена как часть SBOM, но сложность идентификации лицензии уточняется в License_Count, Лицензия_Покрытиекачества License_Declared метрики.

Рекомендации

• https://spdx.org
• https://www.ntia.doc.gov/SoftwareTransparency

Использование и распространение показателей работоспособности может привести к нарушению конфиденциальности. Организации могут быть подвержены рискам. Эти риски могут проистекать из соблюдения GDPR в ЕС, законодательства штата в США или других законов. Также могут быть контрактные риски, вытекающие из условий обслуживания для поставщиков данных, таких как GitHub и GitLab. Использование метрик должно быть проверено на предмет рисков и потенциальных проблем с этикой данных. Посмотри пожалуйста Документ по этике данных CHAOSS для дополнительных указаний.