SPDX – Software Package Data Exchange

Dieser Beitrag ist eine Begriffserklärung zu SPDX – inklusive Prüfungsfragen und Tags.

In a Nutshell

SPDX ist ein offener Standard, um Software-Lizenzinformationen, Urheberrechtsvermerke und Abhängigkeitsdaten maschinenlesbar und einheitlich zu dokumentieren.

Kompakte Fachbeschreibung

SPDX (Software Package Data Exchange) ist ein von der Linux Foundation entwickelter Standard, der die Verwaltung und den Austausch von Lizenzinformationen in Softwareprojekten vereinfacht. Statt Freitext werden standardisierte Lizenz-IDs genutzt, die auf der SPDX License List basieren. Ein SPDX-Dokument kann angeben, unter welcher Lizenz eine Datei oder ein Projekt steht, welche Abhängigkeiten vorliegen und welche Urheberrechte gelten. Der Standard unterstützt verschiedene Formate (JSON, YAML, RDF, Tag/Value) und wird häufig mit SBOMs (Software Bill of Materials) eingesetzt, um die Compliance-Prüfung zu erleichtern.

Prüfungsrelevante Stichpunkte

• SPDX = Standard zur Dokumentation von Lizenzen und Urheberrechtsinfos
• Von der Linux Foundation gepflegt, global anerkannt
• SPDX-License-Identifier im Quellcode als Best-Practice
• IHK-Relevanz: Projektlizenzierung und rechtliche Absicherung
• Praxisbezug: automatische Lizenzscanner wie FOSSology, ScanCode nutzen SPDX
• Sicherheitsaspekt: verhindert Lizenzverletzungen durch fehlende Dokumentation
• Wirtschaftlichkeit: reduziert Kosten für Compliance-Prüfungen und Audits
• Dokumentationspflicht: Lizenzhinweise müssen in Projektdokumentation enthalten sein

Kernkomponenten

1. SPDX-License-Identifier
2. SPDX License List
3. SPDX-Dokument (RDF, JSON, YAML, Tag/Value)
4. SPDX Header-Kommentar in Quellcode-Dateien
5. SPDX Tools (SPDX Online Tools, SPDX-Toolkit)
6. Lizenz-IDs (MIT, GPL-3.0-or-later)
7. Copyright-Hinweise
8. SBOM-Integration
9. Sicherheitsaspekt: rechtssichere Nachverfolgbarkeit
10. Compliance-Tests durch Scanner-Tools

Praxisbeispiel

// SPDX-License-Identifier: MIT
class HelloWorld {
  public static void main(String[] args) {
    System.out.println("Hello SPDX");
  }
}

Erklärung: Mit dem Header wird eindeutig dokumentiert, dass diese Datei unter der MIT-Lizenz steht. Tools können die Lizenz maschinell erkennen, ohne manuelle Prüfung.

Vorteile und Nachteile

Vorteile

• Standardisierung
• Maschinenlesbar
• Automatische Tools
• Rechtssicherheit
• Bessere Governance

Nachteile

• Initialer Mehraufwand
• Pflege der Lizenzdaten
• Komplex bei Multi-Lizenzierung

Typische Prüfungsfragen (mit Kurzantwort)

1. Wofür steht SPDX? Software Package Data Exchange, ein Standard zur Lizenzdokumentation.
2. Rolle des SPDX-License-Identifier? Gibt maschinenlesbar an, unter welcher Lizenz eine Datei steht.
3. SPDX für IHK-Projektdokumentation relevant? Stellt rechtliche Absicherung sicher und dokumentiert Lizenzen transparent.
4. SPDX License List? Standardisierte Liste anerkannter Open-Source-Lizenzen mit eindeutigen IDs.
5. SPDX Beitrag zur Sicherheit? Verhindert unklare Lizenzlagen, die zu rechtlichen Risiken führen können.
6. Unterstützte Dateiformate? JSON, YAML, RDF, Tag/Value und Header-Kommentare.
7. SPDX zur Wirtschaftlichkeit? Durch Automatisierung werden Compliance-Prüfungen günstiger.
8. SPDX in CI/CD integrieren? Lizenzscanner im Build-Prozess, SPDX-Dokumente generieren, bei Konflikten Builds blockieren.

Wichtigste Quellen

1. https://spdx.dev/
2. https://spdx.github.io/spdx-spec/
3. https://spdx.org/licenses/