Dokument SPDX

Vprašanje: Ali ima programski paket povezan dokument SPDX kot standardni izraz težav, povezanih z odvisnostmi, licenciranjem in varnostjo?

Opis

Programski paket ima povezan dokument SPDX kot standardni izraz odvisnosti, licenciranja in vprašanj, povezanih z varnostjo. Več informacij o specifikaciji SPDX najdete na: https://spdx.org/

Cilji

Za menedžerje, ki kupujejo odprtokodno programsko opremo kot del portfelja IT ali Open Source Program Office, dokument SPDX zagotavlja vse bolj pomemben del informacij o upravljanju. To se zgodi, ker programski paketi obstajajo v zapletenih dobavnih verigah programske opreme, zato je pomembno, da se na standardiziran način jasno izrazijo povezane odvisnosti, licence in vprašanja, povezana z varnostjo tega programskega paketa. Dokument SPDX zagotavlja en sam vir informacij za interno uporabo in distribucijo programskih paketov na nižji stopnji. Dokument SPDX pomaga pri tem, kako organizacije rutinizirajo odprtokodno delo za boljšo integracijo z lastnimi odprtokodnimi rutinami upravljanja tveganja.

Izvajanje

Uporaba in razširjanje zdravstvenih meritev lahko povzroči kršitve zasebnosti. Organizacije so lahko izpostavljene tveganjem. Ta tveganja lahko izhajajo iz skladnosti z GDPR v EU, z državno zakonodajo v ZDA ali z drugo zakonodajo. Obstajajo lahko tudi pogodbena tveganja, ki izhajajo iz pogojev storitve za ponudnike podatkov, kot sta GitHub in GitLab. Pri uporabi metrik je treba preveriti tveganje in morebitne težave glede etike podatkov. Prosim poglej Dokument o etiki podatkov CHAOSS za dodatna navodila.

Filtri

augur-SPDX je bil uporabljen za skeniranje repozitorija GitHub Zephyr. Tukaj so licence, ugotovljene pri skeniranju v formatu JSON:

{
  "0": "Apache-2.0",
  "1": "BSD-2-Clause",
  "2": "BSD-3-Clause",
  "3": "GPL-2.0",
  "4": "GPL-2.0+",
  "5": "GPL-3.0+",
  "6": "ISC",
  "7": "MIT"
  "8": "BSD-4-Clause-UC",
  "9": "CC0-1.0"
}

Ta dokument je ustvaril Augur.

Orodja za zagotavljanje metrike

  • DoSOCSv2 vdelano kot Augur Storitev. Dokument SPDX po datotekah je na voljo z Augurjem, konfiguriranim z vtičnikom DoSOCSv2. Ustrezni deli sheme baze podatkov so prikazani spodaj.
  • Avgur-SPDX vdelano kot Augur Storitev. Dokument SPDX po datotekah je na voljo z Augurjem, konfiguriranim z vtičnikom augur-spdx, ki izhaja iz DOSOCS. Ustrezni deli sheme baze podatkov so prikazani spodaj. Ta izvedba je razcep DoSOCSv2.

  • Paketi
  • Package_Files
  • Datoteke (ki so lahko, vendar verjetno ne bodo vključene tudi v druge pakete). Informacije o licenci so vključene kot del SBOM, vendar je zapletenost identifikacije licence pojasnjena v Število_licenc, Licenca_Coveragein Licenca_Declared meritve.

SBOM

Reference