Menu
La communauté SPDX et la Linux Foundation annoncent la sortie de SPDX 3.0, une avancée significative du projet, avec l’ajout des profils SPDX pour gérer les cas d’utilisation des systèmes modernes. La version 3.0 de SPDX sera soumise à l’ISO comme mise à jour.
SPDX 3.0 entend « révolutionner la gestion des logiciels dans les systèmes grâce à des fonctionnalités améliorées et à des cas d’utilisation simplifiés« , peut-on lire dans le communiqué publié ce mardi.
SPDX : de quoi parle-t-on ?
SPDX (qui signifie « Software Package Data Exchange« ) est une initiative de la Linux Foundation visant à standardiser la façon dont les informations sur les licences de logiciels sont partagées entre les différents composants logiciels. Le projet (open source) a été conçu pour aider les personnes et les entreprises à comprendre les licences associées aux logiciels qu’ils utilisent, surtout dans les environnements où de nombreux logiciels open source et tiers sont intégrés ensemble.
SPDX fournit un format standard pour documenter les informations sur les licences dans les fichiers, les paquets de logiciels et les documents associés. L’objectif est de faciliter le partage et la comparaison de ces données entre les différents acteurs du monde des logiciels, réduisant ainsi les risques juridiques et facilitant la conformité aux licences open source.
Ce format est utilisé par de nombreux développeurs, entreprises et autres projets open source pour communiquer clairement les détails des licences, ce qui est particulièrement utile dans les chaînes d’approvisionnement logicielles complexes et les environnements de développement distribués.
SPDX, publiée en tant que norme ISO/IEC 5962:2021 librement accessible, garantit que sa gouvernance respecte les exigences de qualité rigoureuses fixées par l’ISO.
Quoi de neuf dans la version 3.0 ?
L’une des caractéristiques les plus importantes de SPDX 3.0 est l’introduction de profils, qui servent de passerelles, facilitant l’utilisation de SPDX pour des cas d’utilisation spécifiques. Les profils de SPDX 3.0 fournissent des modèles prêts à l’emploi qui vont permettre d’exploiter SPDX sans effort pour des cas d’utilisation spécifiques (développeurs, data scientists, spécialistes en sécurité).
Le processus de développement de SPDX 3.0 a été piloté par la communauté. « En adoptant SPDX 3.0, les entreprises peuvent naviguer avec confiance dans le paysage complexe de la gestion de la chaîne d’approvisionnement logicielle, assurant la transparence, la sécurité et la conformité tout au long du cycle de développement », se réjouit-on du côté de la Linux Foundation.
