Linux Foundation publica especificação do padrão SPDX

A Linux Foundation e FOSSBazaar lançaram nessa quarta-feira, 17/8, uma especificação que tem o objetivo de aliviar as dores de cabeça dos desenvolvedores com a conformidade das licenças de código aberto. O Software Package Data Exchange (SPDX) é baseado em nesa especificação padrão para o rastreamento de informações sobre licenças, abarcando toda a cadeia de fornecimento de software.

Como o software de código aberto é, por natureza, colaborativo, qualquer novo projeto muitas vezes inclui pedaços de outros projetos open source cobertos por licenças diferentes. Ao usar e modificar esses pedaços é praticamente impossível para o profissional de TI saber todas as licenças envolvidas.

A nova especificação permitirá às empresas saber sobre as restrições de licenciamento antes da adoção de um projeto. Isso não é fácil de fazer com mais de 2 mil licenças de software disponíveis gratuitamente na Internet. Cada licença carrega dentro de si a definição do desenvolvedor de como o software criado por ele pode ser usado e distribuído.

Várias empresas já oferecem ferramentas ou serviços de auditoria de código para que que os desenvolvedores as licenças em uso e garantam estar em conformidade com elas. Entre elas, a Black Duck Software, a OpenLogic, a FOSSology HP e a Patologia. Mas mesmo que o código tenha passou por uma auditoria, e cada contribuinte para um projeto tenha sido cuidadosamente documentado, com as informações de copyright para cada pedaço de software incluídas corretamente, não havia ainda nenhuma maneira padrão de documentar os dados para que eles pudessem ser transferido para outros usuários.

A especificação SPDX resolve este problema, diz Dave McLoughlin, auditor de código aberto da OpenLogic. Depois de listar todos os componentes de software utilizados numa aplicação, o arquivo SPDX é anexado ao projeto de software, passando a integrá-lo. A especificação usa um formato específico para coleta de dados sobre cada projeto, incluindo número da versão e licença.

Eventualmente, ferramentas serão criadas para permitir que os arquivos SPDX possam ser transferidos de outros formatos de arquivo também. Por exemplo, se a equipe de uma empresa de desenvolvimento já tem o hábito de usar uma planilha para rastrear as informações de licenciamento, tais ferramentas permitirão que a planilha seja convertida para o fotrmato SPDX.

O grupo de trabalho SPDX espera que, eventualmente, todos os fornecedores de software comercial comecem a usar a especificação SPDX. Agora que a versão 1.0 da especificação está disponível, as empresas devem pedir aos seus fornecedores de software comercial de código aberto o suporte ao padrão SPDX e como eles será aplicado.

O trabalho de especificação do padrão SPDX contou com pesos pesados da indústria, incluindo Alcatel-Lucent, Antelink, Black Duck Software, Canonical, HP, Micro Focus, Motorola Mobility, Inc. nexB, OpenLogic, Palamida, Protecode, Auditor Fonte, Texas Instruments e Wind River.

A especificação está disponível no site do padrão Software Package Data Exchange.