spdx/spdx-spec

GitHub: spdx/spdx-spec

SPDX 是 Linux 基金会主导的开放标准,定义了软件物料清单(SBOM)的通用格式,用于软件供应链中的许可证合规、安全风险管理和组件可追溯性。

Stars: 361 | Forks: 152

# System Package Data Exchange™ (SPDX®) 规范 System Package Data Exchange™ (SPDX®) 规范是一个开放标准 旨在将包含软件组件的系统表示为 软件物料清单 (SBOM)。 此外,SPDX 支持 AI、数据和安全参考, 使其适用于广泛的风险管理用例。 SPDX 标准通过标准化软件供应链中共享许可信息的方式, 帮助促进对自由和开源软件许可证的合规性。SPDX 通过提供一种通用格式, 供公司和社区共享有关软件许可证和版权的重要数据,从而减少重复工作, 进而简化和改进合规流程。 当前稳定版本: - 当前的稳定规范可在此处获取: 下一版本(开发中): - 正在积极开发中的下一版本预览可在此处获取: (本网站会在每次提交到 `develop` 分支后自动更新)。 规范的各种翻译版本可能会提供。 但在所有情况下,英语均为权威语言。 ## 规范开发 该规范由位于此 `spdx/spdx-spec` 仓库的 [`docs/`](./docs/) 目录中的文档组成, 以及根据 [spdx/spdx-3-model](https://github.com/spdx/spdx-3-model/) 仓库中的 Markdown 文件生成的模型文档。 欢迎各种贡献,包括翻译。 对本仓库的贡献须依据 [SPDX Community Specification Contributor License Agreement 1.0][cla] 进行。 请参阅 [相关文档](#related-documents-and-repositories) 部分中的贡献指南、治理实践 和构建说明。 ## 仓库结构 本仓库由以下文件和目录组成(部分): - `.github/workflow` - 工作流定义。 - [`publish_v3.yml`](.github/workflows/publish_v3.yml) - 网站 (HTML) 生成工作流。 - `bin/` - 用于规范生成的脚本。 - `docs/` - 规范内容: - `annexes/` - 规范的附录。 - `css/` - HTML 的样式表。 - `front/` - 前言。 - `images/` - 模型图。这些图像文件应由 `spdx/spdx-3-model` 仓库中的图表描述文件 [model.drawio](https://github.com/spdx/spdx-3-model/blob/develop/docs/model.drawio) 生成,并手动复制到此处。 - `licenses/` - SPDX 规范使用的许可证。 - `model/` - 模型文件。此子目录 _应通过_ `spdx/spec-parser` 仓库中的脚本,使用 `spdx/spdx-3-model` 仓库中的模型信息创建(参见 [构建说明](./build.md))。 - `examples/` - 当前版本规范的各种 SPDX 序列化示例。 - `rdf/` - 模型 RDF 文件。这些本体文件由 `spdx/spdx-3-model` 仓库中的模型 Markdown 文件生成,并手动复制到此处。 - `mkdocs.yml` - 规范文档生成的 MkDocs 配方。模型文件的包含和章节顺序在此定义。 ## 分支结构 SPDX 规范仓库遵循 [Gitflow][gitflow] 工作流,并增加了对支持分支的支持。 正在使用的分支包括: - `main` - 此分支将始终是最新发布的规范。 - `develop` - 此分支是下一个主要或次要版本进行主动开发的地方。 一旦发布,`develop` 分支将合并到 `main` 分支中。 - `support/x.y` - 这些分支将长期存在,并包含规范的次要版本的任何更新。 `x.y` 代表 MAJOR.MINOR 版本,遵循语义化版本控制 (SemVer) 规范。 一旦更改被接受并发布,支持分支将被标记 并合并到 `develop` 和 `main` 分支中。 - 常规功能或修复分支 - 可能会有为特定增强或规范修复而创建的功能分支。 这些分支将是短期的,并合并到 `support` 分支或 `develop` 分支中。 - `gh-pages` - 此分支托管所有版本规范的生成 HTML 网站。它主要由自动化工作流管理。 ## 相关文档和仓库 | 文档 | 链接 | |---------|------| | 版本间的变更 | [CHANGELOG.md](./CHANGELOG.md) | | 贡献指南 | [CONTRIBUTING.md](./CONTRIBUTING.md) | | 构建规范网站(用于测试目的) | [build.md](build.md) | | 治理实践 | [spdx/governance](https://github.com/spdx/governance/) | | SPDX 3 模型开发 | [spdx/spdx-3-model](https://github.com/spdx/spdx-3-model/) | | 模型规范解析器 | [spdx/spec-parser](https://github.com/spdx/spec-parser/) | | 如何使用规范 | [spdx/using](https://github.com/spdx/using/) | | 用例和场景 | [spdx/spdx-examples](https://github.com/spdx/spdx-examples/) | | SPDX 网站,包含有关规范的更多信息 | | | 规范的官方发布版本,包括 PDF | |
标签:AI安全, Chat Copilot, DevSecOps, Linux基金会, Markdown, meg, SBOM, SPDX, 上游代理, 信息安全, 多模态安全, 开源标准, 文档规范, 知识产权, 硬件无关, 网络安全研究, 许可证合规, 跌倒检测, 软件物料清单, 防御加固