Nesta semana, a Linux Foundation e a FOSSBazaar lançaram uma
especificação com o objetivo facilitar a vida dos desenvolvedores em relação à conformidade
das licenças de código aberto. O Software Package Data Exchange (SPDX) é
baseado em nessa especificação padrão para o rastreamento de informações sobre
licenças, englobando toda a cadeia de fornecimento de software.

Pelo fato de o código aberto ser colaborativo, qualquer novo
projeto inclui pedaços de outros projetos open source cobertos por licenças
diferentes. Portanto, quando o profissional de TI usa e modifica esses pedaços,
encontra enorme dificuldade para saber que licenças estão envolvidas.

Com a nova especificação, as empresas saberão a respeito das
restrições de licenciamento antes da adoção de um projeto. A tarefa não é fácil,
já que há mais de 2 mil licenças de software disponíveis gratuitamente na internet,
e cada uma carrega a definição do desenvolvedor de como o software criado por
ele pode ser usado e distribuído.

Além disso, a especificação SPDX, depois de listar todos os
componentes de software utilizados numa aplicação, anexa o arquivo SPDX ao
projeto de software, passando a integrá-lo. A especificação usa um formato
específico para coleta de dados sobre cada projeto, incluindo número da versão
e licença. Entretanto, ferramentas serão criadas para permitir que os arquivos
SPDX possam ser transferidos de outros formatos de arquivo.

De acordo com o grupo de trabalho SPDX, a expectativa é que todos
os fornecedores de software comercial comecem a usar a especificação SPDX. Com
a disponibilidade da versão 1.0 da especificação, as empresas devem pedir aos
seus fornecedores de software comercial de código aberto o suporte ao padrão
SPDX e como eles será aplicado.

O trabalho de especificação do padrão SPDX teve
a colaboração de várias empresas, como Alcatel-Lucent, Antelink, Black Duck
Software, Canonical, HP, Micro Focus, Motorola Mobility, Inc. nexB, OpenLogic,
Palamida, Protecode, Auditor Fonte, Texas Instruments e Wind River.