SPDX
Dieser Beitrag ist eine Begriffserklärung zu SPDX – inklusive kurzer Prüfungsfragen, Praxisbeispiel und Tags zur schnellen Wiederholung.
Was ist SPDX?
SPDX (Software Package Data Exchange) ist ein offener Standard, um Lizenzinformationen, Urheberrechtsvermerke und Abhängigkeitsdaten in Softwareprojekten einheitlich und maschinenlesbar zu dokumentieren.
Statt Freitext werden standardisierte Lizenz-IDs aus der SPDX License List verwendet (z.B. MIT, Apache-2.0, GPL-3.0-or-later).
Warum ist SPDX in der Praxis wichtig?
- Compliance: weniger Risiko für Lizenzverletzungen
- Automatisierung: Scanner-Tools erkennen Lizenzen zuverlässig
- SBOM/Supply Chain: SPDX wird häufig zusammen mit SBOMs genutzt
- Rechtssicherheit: klare Lizenzlage bei Übergabe/Veröffentlichung
Praxisbeispiel: SPDX-License-Identifier im Code
// SPDX-License-Identifier: MITWirkung: Tools können die Lizenz dieser Datei automatisch erkennen, ohne lange Lizenztexte parsen zu müssen.
Vorteile und Nachteile
Vorteile
- Standardisiert und international anerkannt
- Maschinenlesbar (für Audits und CI/CD)
- Bessere Nachvollziehbarkeit bei Open-Source-Nutzung
Nachteile
- Initialer Mehraufwand (konsequent pflegen)
- Bei Multi-Lizenzierung kann es komplex werden
Typische Prüfungsfragen (mit Kurzantwort)
- Wofür steht SPDX? Software Package Data Exchange.
- Was ist
SPDX-License-Identifier? Eine maschinenlesbare Angabe der Lizenz einer Datei. - Warum ist SPDX IHK-relevant? Lizenzierung und Übergabe von Software müssen rechtlich sauber dokumentiert sein.
- Wie integriert man SPDX in CI/CD? Lizenzscanner laufen im Build und schlagen bei Konflikten fehl.
Fazit
SPDX ist ein praktischer Standard, um Lizenzthemen in Projekten sauber zu dokumentieren – und wird durch Automatisierung in CI/CD zunehmend wichtiger.