ORT项目SPDX 2.2规范中licenseListVersion字段的合规性问题分析

在开源合规性工具ORT（OSS Review Toolkit）的使用过程中，我们发现其生成的SPDX 2.2格式的软件物料清单（SBOM）存在一个规范符合性问题。具体表现为在非托管项目（Unmanaged Project）中生成的SPDX文档里，licenseListVersion字段使用了三位数字的版本号格式（如"3.25.0"），而SPDX 2.2规范明确要求该字段只能使用两位数字的版本号格式（如"3.25"）。

SPDX（Software Package Data Exchange）是一种标准化的软件物料清单格式，用于清晰地描述软件组件及其许可证信息。在SPDX 2.2规范中，licenseListVersion字段用于标识所使用的SPDX许可证列表的版本。这个字段的格式限制是为了保持规范的严格性和一致性。

问题的根源在于ORT工具内部处理许可证列表版本号时，直接使用了完整的版本字符串，而没有针对SPDX 2.2规范的特殊要求进行适配。值得注意的是，SPDX官方在许可证列表的版本标记实践中，从3.23版本后确实已经改为使用三位数字的版本号格式，这使得规范本身在这个细节上显得有些过于严格。

这个问题在用户使用NTIA一致性检查工具对生成的SPDX文档进行验证时被发现。NTIA制定了一套SBOM最低要求，许多组织和项目都使用这套标准来验证其SBOM的合规性。当ORT生成的SPDX文档中的licenseListVersion字段不符合SPDX 2.2规范时，会导致验证失败。

对于使用ORT工具生成SPDX文档的用户来说，这个问题会影响他们生成的SBOM文档的合规性。特别是在需要严格遵循SPDX 2.2规范或需要通过NTIA合规性检查的场景下，这个问题需要被解决。

ORT开发团队已经快速响应并修复了这个问题。修复方案是对生成的licenseListVersion字段进行格式化处理，确保在SPDX 2.2文档中只保留两位数字的版本号。这个改动虽然简单，但对于确保生成的SBOM文档的规范符合性非常重要。

这个案例也提醒我们，在使用自动化工具生成SBOM时，仍然需要关注生成的文档是否符合目标规范的所有要求。特别是当规范本身与工具的默认行为或行业实践存在细微差异时，更需要仔细检查和验证。

对于ORT用户来说，特别是在处理非托管项目时，建议定期更新到最新版本的ORT工具，以确保生成的SPDX文档能够符合最新的规范要求。同时，对于有特殊需求的用户，也可以考虑在生成SPDX文档后，通过自定义脚本对文档进行进一步的调整和完善，比如设置更准确的许可证信息、项目名称和下载位置等字段。

这个问题的发现和解决过程展示了开源社区协作的优势，用户发现问题后及时反馈，维护团队迅速响应并修复，共同推动工具质量的提升，最终使整个开源生态受益。