Erlang/OTP项目中SPDX许可证合规性问题解析

背景介绍

在开源软件合规性管理中，SPDX(Software Package Data Exchange)格式已成为描述软件组件及其许可证信息的标准方式。Erlang/OTP作为重要的开源项目，其许可证合规性管理尤为重要。近期项目中出现了关于SPDX文档不符合NTIA(National Telecommunications and Information Administration)要求的合规性问题。

问题本质

问题的核心在于Erlang/OTP项目生成的SPDX文档中包含了自定义许可证引用"LicenseRef-wxwindows-free-doc"，而NTIA要求所有许可证表达式必须使用标准许可证列表中的ID或提取的许可证信息。具体错误表现为：

Unrecognized license reference: LicenseRef-wxwindows-free-doc. 
license_expression must only use IDs from the license list or extracted licensing info, 
but is: Apache-2.0 AND LicenseRef-wxwindows-free-doc

技术解析

1. SPDX与NTIA合规性关系：

   • SPDX是描述软件组件及其许可证信息的标准格式
   • NTIA制定了软件材料清单(SBOM)的最低要求
   • 合规的SPDX文档必须满足NTIA对许可证标识的要求

2. 自定义许可证引用问题：

   • "LicenseRef-"前缀用于标识非标准许可证
   • NTIA要求所有许可证必须来自标准列表或经过明确提取
   • 自定义引用需要额外的处理才能满足合规要求

3. 复合许可证表达式：

   • 问题中的表达式"Apache-2.0 AND LicenseRef-wxwindows-free-doc"是复合许可证
   • 即使部分许可证合规，整个表达式也会因不合规部分而失效

解决方案

该问题的解决依赖于上游工具链的更新。具体而言：

1. 工具链依赖：

   • 需要等待扫描工具(ScanCode Toolkit)添加对相关许可证的支持
   • 工具更新后，自定义许可证将被正确处理

2. 验证过程：

   • 使用ntia-checker工具验证SPDX文档
   • 确认所有许可证引用都来自标准列表
   • 确保复合表达式中的每个部分都合规

经验总结

1. 开源合规性管理要点：

   • 定期验证生成的SBOM文档
   • 关注工具链更新，及时处理已知问题
   • 对自定义许可证要特别关注合规性要求

2. 最佳实践建议：

   • 尽可能使用标准许可证
   • 如必须使用自定义许可证，确保其被正确提取和记录
   • 建立自动化验证流程，确保持续合规

当前状态

该问题已得到解决，相关许可证已被添加到工具支持列表中，生成的SPDX文档现已完全符合NTIA要求。这为Erlang/OTP项目的合规性管理提供了更好的基础。