Discussion :

[Hinault Romaric]

La Fondation Linux publie SPDX
Un standard d’échange d’informations sur les licences des projets open-sources


La Fondation Linux et le groupe communautaire FOSSBasaar viennent de publier la première version de la spécification SPDX (Software Package Data Exchange), un nouveau standard d’échange d'informations sur les licences liées aux composants utilisés dans la conception d’un logiciel.

Actuellement, plus de 2.000 licences sont utilisées par des projets open-sources. La plupart des logiciels disponibles sur le marché incluent des projets open-sources ayant chacun des licences différentes.

Les entreprises lors du choix de l’utilisation ou de la modifications des logiciels libres n’ont parfois pas connaissances des dispositions et des restrictions qu’imposent les licences attachées au code. L'étude de celles-ci peut également être vue comme une perte de temps et de ressources importantes.

Les travaux de la fondation Linux et du groupe FOSSBasaar visent donc à offrir aux entreprises un outil qui permet de simplifier la tâche dans le choix d’un logiciel open-source en rendant les licences plus claires.

La norme SPDX, créée par ce groupe de travail, facilite donc la conformité entre les licences open-sources en normalisant les informations de licence partagées par la chaîne d'outil de gestion des applications. SPDX offre un format commun pour les entreprises et les communautés pour partager des données sur les licences et droits d’auteurs, et permettre ainsi une rationalisation et l’augmentation de la conformité.

Concrètement, un fichier SPDX résume les données précises sur chaque projet, y compris le numéro de version de licence qui sera désormais inclus dans chaque logiciel.

Le projet bénéficie déjà de la participation et du soutien de plusieurs grandes entreprises comme Canonical (éditeur de Ubuntu), HP, Red Hat, Alcarel-Lucent, Mororola Mobility (Google) ou encore Texas Instruments.



Plus d'informations sur SPDX sur son site officiel

Et vous ?

Que pensez-vous de cette nouvelle spécification ?

[_skip]

Que pensez-vous de cette nouvelle spécification ?

Que tout ce qui peut contribuer à réduire l'ambiguïté d'une licence open source est pour moi une bonne chose. Cependant, le problème n'est parfois pas tant de savoir quelle licence le code et ses middlewares utilisent mais quel use case est considéré comme une violation?
Les exemples de projets qui me viennent en tête où c'était vraiment pas clair sont par exemple mySQL (même si je pense que ça a changé), dont je pense que beaucoup ont violé en toute bonne foi la licence "gratuite".

enfin on verra ce que ça donne.

[Traroth2]

Excellente initiative !

Il va falloir attendre que les acteurs importants du libre et de l'open-source y adhèrent : Les entreprises (IBM, Google, Oracle, Adobe, Apple), mais aussi les fondations et consortiums (FSF, ASF, OW2, Xiph, Document Foundation...), voire les organisations de standardisation (W3C, OMG...).