SPDX 【Software Package Data Exchange】

概要

SPDX(Software Package Data Exchange)とは、システムを構成するソフトウェアについての情報を収集して管理するためのデータ形式の標準の一つ。ソフトウェア部品表(SBOM)の作成に用いられる。

現代の大規模な情報システム開発では、自社開発プログラムに加え、他社が販売しているソフトウェア製品、オープンソースソフトウェアなど、様々な種類のソフトウェアソフトウェア部品を組み合わせて用いることが増えている。

これらはそれぞれ個別の利用許諾条件(ソフトウェアライセンス)に基づいて提供されており、自社製品の一部として組み込む際には条件を逸脱しないよう注意しなければならない。また、脆弱性などが発見された際には素早く対処しなければならず、何が組み込まれているのかすぐに参照できる必要がある。

利用するソフトウェアの数が増えると管理が煩雑になるため、大規模開発の現場では「ソフトウェア部品表」(SBOM:Software Bills Of Material)と呼ばれるリストを整備して、どのソフトウェアのどのバージョン組み込み、そのライセンス条件はどうなっているか即座に把握できるようにしている。

SPDXは主にライセンス管理をうためのSBOMデータ形式の一つで、対象のシステムに含まれるソフトウェアとそのライセンスについての情報リストすることができる。記述形式として、「属性:」というキーバリューペアを列挙したタグ形式、XMLJSONYAMLRDFExcelスプレッドシートXLS/XLSX)を選択することができる。

SPDX形式のデータの作成、読み込み、編集などを支援するツールなども整備されており、オープンソースソフトウェアソースコードコメントの形でSPDXに組み込めるライセンス情報が埋め込まれることも増えている。SPDXの仕様はLinuxカーネル開発を推進するLinux Foundationが取りまとめており、2021年にはISO/IEC 5962として国際標準化された。

(2023.11.11更新)

他の辞典による解説 (外部サイト)

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。
ホーム画面への追加方法
1.ブラウザの 共有ボタンのアイコン 共有ボタンをタップ
2.メニューの「ホーム画面に追加」をタップ
閉じる