SPDX十多年來獲得全球眾多最大規(guī)模公司的支持,在軟件和供應(yīng)鏈安全的轉(zhuǎn)型時(shí)期正式成為國際認(rèn)可的ISO/IEC JTC 1標(biāo)準(zhǔn)
舊金山2021年9月11日 /美通社/ -- Linux基金會(huì)、聯(lián)合開發(fā)基金會(huì)(Joint Development Foundation)和SPDX社區(qū)今天宣布,Software Package Data Exchange®(SPDX®)規(guī)范作為ISO/IEC 5962:2021發(fā)布,被認(rèn)定為安全性、許可合規(guī)和其他軟件供應(yīng)鏈構(gòu)件領(lǐng)域的國際開放標(biāo)準(zhǔn)。ISO/IEC JTC 1是一個(gè)獨(dú)立的非政府標(biāo)準(zhǔn)機(jī)構(gòu)。
包括英特爾、微軟、西門子、索尼、新思科技、VMware和WindRiver在內(nèi)的眾多公司已經(jīng)使用SPDX在政策或工具中傳達(dá)軟件材料清單(SBOM)信息,以確保在全球軟件供應(yīng)鏈中實(shí)現(xiàn)合規(guī)和安全開發(fā)。
Linux基金會(huì)執(zhí)行董事Jim Zemlin表示:“在如何在整個(gè)供應(yīng)鏈中創(chuàng)建、分發(fā)和消費(fèi)軟件方面,SPDX對于建立更多的信任和透明度發(fā)揮著重要作用。從事實(shí)上的行業(yè)標(biāo)準(zhǔn)過渡到正式的ISO/IEC JTC 1標(biāo)準(zhǔn),讓SPDX得以在全球范圍內(nèi)顯著提升采用率。SPDX現(xiàn)在完全能夠支持整個(gè)供應(yīng)鏈中對軟件安全性和完整性的國際要求。”
一款現(xiàn)代應(yīng)用程序的百分之八十至九十(80%-90%)均來自開源軟件組件的組合。SBOM表示出應(yīng)用程序中包含的軟件組件(開源、專有或第三方),并詳細(xì)說明其來源、許可和安全屬性。SBOM被用作跨軟件供應(yīng)鏈跟蹤和追蹤組件的基本慣例做法的一部分。SBOM還有助于主動(dòng)識(shí)別軟件問題和風(fēng)險(xiǎn),并為其補(bǔ)救建立一個(gè)起點(diǎn)。
SPDX是包括領(lǐng)先的軟件組件分析(CAS)供應(yīng)商在內(nèi)的各行業(yè)代表機(jī)構(gòu)十年合作的結(jié)果,這使其成為最強(qiáng)大、最成熟且最為廣泛采用的SBOM標(biāo)準(zhǔn)。
“隨著過去十年軟件供應(yīng)鏈中出現(xiàn)新的用例,SPDX社區(qū)已展示出發(fā)展和擴(kuò)展標(biāo)準(zhǔn)以滿足最新要求的能力。這真正體現(xiàn)了有利于所有行業(yè)的協(xié)作的力量,”SPDX技術(shù)團(tuán)隊(duì)聯(lián)合負(fù)責(zé)人Kate Stewart表示, “SPDX將繼續(xù)通過開放社區(qū)的投入實(shí)現(xiàn)發(fā)展,我們邀請包括提出新用例的有關(guān)方面在內(nèi)的所有各方參與SPDX的發(fā)展,確保軟件供應(yīng)鏈的安全?!?
有關(guān)如何參與SPDX并從中受益的更多信息,請?jiān)L問:https://spdx.dev。
要了解有關(guān)各公司和開源項(xiàng)目如何使用SPDX的更多信息,請觀看8月18日舉行的“為軟件供應(yīng)鏈構(gòu)建網(wǎng)絡(luò)安全”全體大會(huì)的錄像,網(wǎng)址為:https://events.linuxfoundation.org/supply-chain-town-hall/
ISO/IEC JTC 1是一個(gè)獨(dú)立的非政府國際組織,總部設(shè)在瑞士日內(nèi)瓦。其成員包括超過165個(gè)國家標(biāo)準(zhǔn)機(jī)構(gòu),這些機(jī)構(gòu)的專家分享知識(shí)并制定支持創(chuàng)新和解決全球挑戰(zhàn)的自愿性、基于共識(shí)且具備市場相關(guān)性的國際標(biāo)準(zhǔn)。
支持評(píng)論
英特爾
“軟件安全和信任對我們行業(yè)的成功至關(guān)重要。英特爾是SPDX規(guī)范開發(fā)的早期參與者,并將SPDX用于內(nèi)部和外部的眾多軟件用例,”英特爾軟件和先進(jìn)技術(shù)集團(tuán)副總裁兼戰(zhàn)略執(zhí)行總經(jīng)理Melissa Evers表示。
微軟
“微軟已選擇采用SPDX作為我們所生產(chǎn)軟件的SBOM格式,”微軟軟件供應(yīng)鏈安全首席產(chǎn)品經(jīng)理Adrian Diglio表示, “SPDX SBOM使得生產(chǎn)符合美國總統(tǒng)行政命令的SBOM變得更容易,SPDX在下一代模式設(shè)計(jì)方面所采取的方向?qū)⒂兄谶M(jìn)一步提高軟件供應(yīng)鏈的安全性。”
西門子
“ISO/IEC 5962:2021讓我們擁有了第一個(gè)軟件包元數(shù)據(jù)官方標(biāo)準(zhǔn)。SPDX十年來一直是事實(shí)采用的標(biāo)準(zhǔn),成為官方標(biāo)準(zhǔn)則是水到渠成。這將使供應(yīng)鏈中的許可合規(guī)變得更加輕松,特別是因?yàn)镕OSSology、ORT、scancode和sw360等多種開源工具已經(jīng)支持SPDX,”西門子開源高級(jí)經(jīng)理Oliver Fendt表示。
索尼
“索尼團(tuán)隊(duì)使用多種方法來管理開源合規(guī)性和治理,”索尼集團(tuán)公司高級(jí)副總裁、研發(fā)中心副總裁、軟件戰(zhàn)略委員會(huì)代表玉井久視表示, “一個(gè)例子是使用基于SPDX Lite的OSS管理模板,這是SPDX標(biāo)準(zhǔn)的一個(gè)緊子集。各團(tuán)隊(duì)必須能夠快速審查軟件的類型、版本和要求,而使用明確標(biāo)準(zhǔn)是這一流程中的關(guān)鍵一環(huán)?!?/p>
新思科技
“新思科技的Black Duck團(tuán)隊(duì)從一開始就參與SPDX項(xiàng)目,我本人有幸在十多年的時(shí)間里負(fù)責(zé)協(xié)調(diào)該項(xiàng)目的領(lǐng)導(dǎo)工作。來自數(shù)十家公司的代表為制定描述和傳達(dá)軟件包內(nèi)容的標(biāo)準(zhǔn)方法這項(xiàng)重要工作做出了貢獻(xiàn),”Black Duck Audits總經(jīng)理Phil Odence表示。
VMware
“SPDX是Automating Compliance Tooling所涵蓋的各種工具之間至關(guān)重要的共同聯(lián)系。通過SPDX,以不同語言針對不同軟件目標(biāo)編寫的工具可圍繞SBOM生產(chǎn)和消費(fèi)實(shí)現(xiàn)一致性和互操作性。此外,SPDX不僅是針對合規(guī)性,其定義明確且不斷發(fā)展的規(guī)范也能夠體現(xiàn)安全性和供應(yīng)鏈影響。這對于不斷增長的SBOM工具社區(qū)非常重要,因?yàn)檫@些工具的目標(biāo)是詳盡體現(xiàn)出現(xiàn)代軟件的復(fù)雜性,”VMware的ACT TAC主席兼開源工程師Rose Judge表示。
Wind River
“SPDX格式大幅促進(jìn)了整個(gè)供應(yīng)鏈中軟件組件數(shù)據(jù)的共享。過去8年來,Wind River一直在使用SPDX格式向客戶提供軟件物料清單(SBOM)??蛻敉ǔ?huì)請求定制格式的SBOM數(shù)據(jù)。SPDX的標(biāo)準(zhǔn)化使我們能夠以更低的成本提供更高質(zhì)量的SBOM,”Wind River開源計(jì)劃辦公室主任兼OpenChain規(guī)范主席Mark Gisi表示。
關(guān)于SPDX
SPDX是用于溝通包括來源、許可、安全性和其他相關(guān)信息在內(nèi)的軟件物料清單信息的開放標(biāo)準(zhǔn)。SPDX通過為組織和社區(qū)提供共享重要數(shù)據(jù)的共同格式來減少冗余工作,從而簡化和改善合規(guī)性、安全性和可靠性。如需更多信息,請?jiān)L問我們的網(wǎng)站:spdx.org。
Linux基金會(huì)擁有注冊商標(biāo)并使用商標(biāo)。有關(guān)Linux基金會(huì)的商標(biāo)列表,請參閱我們的商標(biāo)使用頁面: https://www.linuxfoundation.org/trademark-usage。Linux是Linus Torvalds的注冊商標(biāo)。
媒體聯(lián)系人
Jennifer Cloer
(Linux Foundation)
503-867-2304
jennifer@storychangesculture.com