<div dir="ltr">Hi Holger,<div>    What Santiago and I were trying to figure out is what information about </div><div>a package build (from the .BUILDINFOs) we could look at adding in to </div><div>the SPDX specification for packages.</div><div><br></div><div>   What's in SPDX documents today is not sufficient, but we can expand the definition </div><div>by adding optional fields, so that those who want to capture this information can store </div><div>it with other key licensing, copyright, and security information about the package.</div><div>This will help with supporting the complete and corresponding source proof for</div><div>certain licenses and be distro agnostic.    Does this seem like a reasonable goal</div><div>to aim for? </div><div><br></div><div>Thanks, Kate      </div><div><br></div><div>    </div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 15, 2018 at 1:48 PM, Holger Levsen <span dir="ltr"><<a href="mailto:holger@layer-acht.org" target="_blank">holger@layer-acht.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Santiago,<br>
<span class=""><br>
On Tue, Feb 06, 2018 at 01:13:26PM -0500, Santiago Torres wrote:<br>
> I spoke with Kate from the SPDX project (CCd, many of youmay probably<br>
> know her already) about the state of the SPDX[1][2] project and how it's<br>
> trying to aggregate information regarding the build results.<br>
><br>
> I was thinking that SPDX could be probably used to homogenize the<br>
> .BUILDINFO files in a cross-distro standard. To me it feels that,<br>
> although probably distros package their stuff differently, there's<br>
> enough overlap to do a community effort on finding a common standard. Is<br>
> anyone up for discussion regarding this? :)<br>
<br>
</span>while I agree in theory, I'm not so sure (how) this will work in<br>
practive, given we already have very different .buildinfo file formats -<br>
and contents. (eg as you know the archlinux .buildinfo files dont<br>
contain the hashes of the generated binaries...)<br>
<br>
also, from my very limited understanding of SPDX files, those aim to<br>
specify copyright, authors and such things, which to me seems a very<br>
different task to accomplish than what we aim to document with<br>
.buildinfo files. I'm not sure thhat merging those two goals is a good<br>
way of reaching them both, but maybe that's not what you are proposing.<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
--<br>
cheers,<br>
        Holger<br>
</font></span></blockquote></div><br></div>