Le groupe de travail SPDX (Software Package Data Exchange) de la Fondation Linux vient de publier la version 2.0 du standard éponyme de présentation et d'échange des licences et droits d’auteur open source associés à un logiciel. ...Selon ses promoteurs, SPDX 2.0 vise à donner une vision tridimensionnelle des dépendances entre licences via, notamment, la capacité à relier différents documents SPDX entre eux, et ce afin de clarifier les données relatives aux modules et composants logiciels open source utilisés dans les chaînes d’approvisionnement des entreprises et de simplifier les processus de conformité aux licences open source.

A titre d’exemple, avec la spécification SPDX 2.0, un équipementier pourra facilement comprendre quels sont les logiciels open source qui ont été utilisés pour bâtir les éléments de son produit, quelles sont les versions de ces logiciels qui ont été mises en œuvre et quels modules ont été effectivement intégrés dans l’équipement. La vision des dépendances entre licences est rendue possible grâce notamment à un niveau plus poussé des descriptions et contextes dans les fichiers et paquetages associés, y compris ceux extérieurs à la spécification SPDX. Du coup, les entreprises devraient plus aisément appréhender le code open source contenu dans leurs produits ainsi que les briques open source issues de tierces parties et intégrées dans le logiciel final. Un moyen de mieux comprendre les obligations de conformité open source auxquelles elles sont soumises et les éventuelles vulnérabilités afférentes. Et donc de les corriger avant le lancement effectif sur le marché.

Au sein du groupe de travail SPDX, on trouve des sociétés ou organismes comme Alcatel-Lucent, ARM, Cisco, HP, Linaro, Qualcomm, Samsung, Texas Instruments et Wind River. L’éditeur canadien Protecode a d’ores et déjà annoncé le support de la spécification SPDX 2.0 par ses outils de gestion de licences de logiciels open source.