SPDX Parser and Validator for Software Compliance

소프트웨어 컴플라이언스를 위한 SPDX Parser 및 Validator

Analyzing a software package which is consisted of big numbers of files takes enormous costs and time. Therefore, SPDX (Software Package Data Exchange) working group collaborate with Linux Foundation published a software information(metadata) specification: SPDX. On the first half of 2017, the specification contains seven chapters and 66 items, according to Ver 2.1 of SPDX spec. It prefers Tag/Value or RDF forms but also supports spreadsheet form. In this paper, we introduce SPDX parsing & validation tools to check the validity of SPDX document. We'll develop SPDX document generator to manage software package more efficiently for our next target.

수 많은 파일로 이루어진 소프트웨어 패키지를 일일이 분석하는 것은 많은 시간과 비용을 요구하는 작업이다. 이에 리눅스 재단의 워킹그룹인 SPDX에서는 소프트웨어의 명세정보(메타데이터) 규약을 발표하였다. SPDX 문서는 2017년 상반기 기준 2.1버전이 발표되었으며, 총 7개의 콘텐츠에 66개 항목이 존재한다. 또한 Tag/Value 형식과 RDF형식을 권장하며, 스프레드시트 형식을 지원한다. 본 연구에서는 SPDX 문서를 각 항목별로 분류하고, 유효성 검사를 해주는 SPDX Parse & Validator 툴을 개발하였다. 추후 SPDX 문서를 생성(Generator)하는 툴을 개발하여 보다 효율적으로 소프트웨어 패키지를 관리하고자 한다.