SPDX是一箇旨在簡化、標準化和自動化軟件包許可證的跟蹤和交換的開源數據交換格式。
SPDX代表“Software Package Data Exchange”,它是由SPDX工作組編寫的,該工作組由Linux基金會支持,代表了20多箇不同的組織。SPDX格式化數據可以在不同的工具中使用,幫助開發人員和組織快速識別和管理使用的開源組件的詳細信息和相關許可證和政策要求。它用於描述軟件包和其中包含的組件(如模塊、庫、框架等)信息、許可證信息和許可證約束、版權信息、貢獻者信息、依賴關係等。SPDX不僅是一箇文件格式,而且是一種開放格式,它包括軟件物料清單(bill of materials)的信息,如依賴關係、許可證、版權和安全引用。
此外,SPDX格式從一箇事實上的行業標準過渡到一箇正式的ISO/IEC JTC 1標準,這大大增加了其在全球範圍內的應用。它現在完全有能力支撐起整個供應鏈對軟件安全性和完整性的國際要求。