Hiệp hội Linux và FOSSBazaar đã phát hành một bản đặc tả tiêu chí kỹ thuật mới để giảm bớt sự nhức nhối của việc tuân thủ giấy phép cho phần mềm nguồn mở. Software Package Data Exchange (SPDX) là một đặc tả kỹ thuật trao đổi dữ liệu có tác dụng theo dõi thông tin về giấy phép theo một cách tiêu chuẩn hóa và cho phép nó được di chuyển trên toàn chuỗi cung cấp phần mềm.

Vì phần mềm mã nguồn mở là sự kết hợp của nhiều dự án của cộng đồng phát triển nguồn mở tạo nên. Bản chất của nó là bao gồm nhiều dự án phần mềm mã nguồn mở khác, và mỗi phần mềm lại có một giấy phép khác nhau. Đến khi  dự án phần mềm thuộc về một một doanh nghiệp muốn sử dụng nó, và có thể sửa đổi nó, các chuyên gia CNTT có thể thậm chí không biết được tất cả các giấy phép khác nhau đi kèm với mã.

Các công ty muốn thực hiện theo các giấy phép và họ muốn biết về các hạn chế của giấy phép trước khi họ thông qua một dự án. Điều này không hề dễ dàng đối với hơn 2.000 giấy phép tồn tại cho phần mềm tự do có sẵn trên Internet, từ những giấy phép rất lạ như các giấy phép Free Beer (giấy phép này yêu cầu bạn gửi bia cho các lập trình viên thay vì gửi tiền) đến các giấy phép GPL family và nền tảng các giấy phép đặc trưng riêng biệt như là Apache và Eclipse.

Mỗi giấy phép đều có nói đến định nghĩa của nhà phát triển phần mềm về cách sử dụng và phân phối phần mềm. Các giấy phép không bắt buộc như BSD và MIT cho phép các phần mềm được tái phân phối và các nhà phát triển có thể sửa đổi mã nguồn mà không cần phải công khai. Mặt khác, các giấy phép đối ứng có các hạn chế về tái sử dụng và tái phân phối khác nhau.

Một số công ty cung cấp các công cụ hoặc dịch vụ để kiểm tra mã nguồn được sử dụng bởi tổ chức, tìm ra các giấy phép của nó và đảm bảo rằng doanh nghiệp hoặc nhà phát triển đều làm đúng theo. Chúng bao gồm phần mềm Duck Black, OpenLogic, FOSSology and Pathology (HPQ) của HP. Nhưng ngay cả khi một công ty đã được kiểm toán, và sau đó những nhà phát triển thực hiện dự án sẽ dẫn chứng các giấy phép và thông tin bản quyền cho mỗi phần của phần mềm chỉnh sửa thì cũng không có cách nào được tiêu chuẩn hóa để dẫn chứng tài liệu, vì thế nó có thể được chuyển giao cho những người dùng khác.

SPDX có thể giải quyết vấn đề này, ông Dave McLoughlin, một kiểm soát viên mã nguồn mở của OpenLogic cho biết. Tập tin SPDX sẽ di chuyển với một dự án phần mềm như là một tập tin bao gồm trong nó. Nó sử dụng một định dạng riêng để thu thập dữ liệu riêng về từng dự án bao gồm số phiên bản và giấy phép.

Cuối cùng, các công cụ sẽ cho phép các tập tin SPDX có thể được chuyển từ các định dạng tập tin khác. Ví dụ, nếu một đội ngũ phát triển của công ty đã sử dụng một bảng tính để theo dõi thông tin giấy phép thì các công cụ như này sẽ cho phép bảng tính được chuyển đổi sang một tập tin SPDX.

Hiệp hội Linux tiến gần đến sự phép thông qua của ngành công nghiệp mã nguồn mở. Nhóm thực hiện SPDX hy vọng rằng tất cả các nhà cung cấp phần mềm thương mại sẽ ủng hộ SPDX. Giờ đây bản đặc tả kỹ thuật 1.0 đã có sẵn trên trang web của Software Package Data Exchange, các doanh nghiệp có thể yêu cầu SPDX và cách thực hiện của nó từ các nhà cung cấp phần mềm mã nguồn mở thương mại của họ.

Nhóm dự án muốn nhận được sự tham gia và ủng hộ của một loạt các hãng trong ngành công nghiệp nặng bao gồm Alcatel-Lucent, Antelink, Black Duck Software, Canonical, HP, Micro Focus (MCRO), Motorola (MOT) Mobility, nexB Inc., OpenLogic, Palamida, Protecode, Source Auditor, Texas Instruments (TXN) và Wind River.

Theo Tcbcvt