SPDX

定义 Definition

SPDX 是 “Software Package Data Exchange” 的缩写，指一套用于描述软件组件、许可证与版权信息的开放标准与格式，常用于生成/交换软件物料清单（SBOM）与合规信息。（也常指 SPDX 许可证标识符，如 MIT、Apache-2.0。）

发音 Pronunciation (IPA)

/ˌɛs piː diː ˈɛks/

例句 Examples

We added SPDX license identifiers to every source file.
我们在每个源文件中都添加了 SPDX 许可证标识符。

The security team requires an SPDX SBOM so we can track dependencies and comply with open‑source licenses.
安全团队要求提供一份 SPDX 格式的 SBOM，以便我们追踪依赖并遵守开源许可证。

词源 Etymology

SPDX 来自首字母缩写 Software Package Data Exchange，最初由开源社区推动（与 Linux Foundation 相关），目的是用统一、可机器读取的方式交换软件包的许可证与组件信息，从而提升开源合规与供应链透明度。

相关词 Related Words

• License
• Compliance
• Copyright
• Dependency
• SBOM
• Open-Source
• Provenance
• Vulnerability

文学与作品 Literary Works

• SPDX Specification（SPDX 规范文档）
• The Software Package Data Exchange (SPDX) License List（SPDX 许可证列表）
• *NIST SP 800-218: Secure Software Development Framework (SSDF)*（提及 SBOM/供应链实践，常与 SPDX 一起使用）
• Executive Order 14028 及相关配套指南（推动 SBOM 实践，业界常用 SPDX/ CycloneDX 等格式）