SPDX十多年来获得全球众多最大规模公司的支持,在软件和供应链安全的转型时期正式成为国际认可的ISO/IEC JTC 1标准
旧金山2021年9月11日 /美通社/ -- Linux基金会、联合开发基金会(Joint Development Foundation)和SPDX社区今天宣布,Software Package Data Exchange®(SPDX®)规范作为ISO/IEC 5962:2021发布,被认定为安全性、许可合规和其他软件供应链构件领域的国际开放标准。ISO/IEC JTC 1是一个独立的非政府标准机构。
包括英特尔、微软、西门子、索尼、新思科技、VMware和WindRiver在内的众多公司已经使用SPDX在政策或工具中传达软件材料清单(SBOM)信息,以确保在全球软件供应链中实现合规和安全开发。
Linux基金会执行董事Jim Zemlin表示:“在如何在整个供应链中创建、分发和消费软件方面,SPDX对于建立更多的信任和透明度发挥着重要作用。从事实上的行业标准过渡到正式的ISO/IEC JTC 1标准,让SPDX得以在全球范围内显著提升采用率。SPDX现在完全能够支持整个供应链中对软件安全性和完整性的国际要求。”
一款现代应用程序的百分之八十至九十(80%-90%)均来自开源软件组件的组合。SBOM表示出应用程序中包含的软件组件(开源、专有或第三方),并详细说明其来源、许可和安全属性。SBOM被用作跨软件供应链跟踪和追踪组件的基本惯例做法的一部分。SBOM还有助于主动识别软件问题和风险,并为其补救建立一个起点。
SPDX是包括领先的软件组件分析(CAS)供应商在内的各行业代表机构十年合作的结果,这使其成为最强大、最成熟且最为广泛采用的SBOM标准。
“随着过去十年软件供应链中出现新的用例,SPDX社区已展示出发展和扩展标准以满足最新要求的能力。这真正体现了有利于所有行业的协作的力量,”SPDX技术团队联合负责人Kate Stewart表示, “SPDX将继续通过开放社区的投入实现发展,我们邀请包括提出新用例的有关方面在内的所有各方参与SPDX的发展,确保软件供应链的安全。”
有关如何参与SPDX并从中受益的更多信息,请访问:https://spdx.dev。
要了解有关各公司和开源项目如何使用SPDX的更多信息,请观看8月18日举行的“为软件供应链构建网络安全”全体大会的录像,网址为:https://events.linuxfoundation.org/supply-chain-town-hall/
ISO/IEC JTC 1是一个独立的非政府国际组织,总部设在瑞士日内瓦。其成员包括超过165个国家标准机构,这些机构的专家分享知识并制定支持创新和解决全球挑战的自愿性、基于共识且具备市场相关性的国际标准。
支持评论
英特尔
“软件安全和信任对我们行业的成功至关重要。英特尔是SPDX规范开发的早期参与者,并将SPDX用于内部和外部的众多软件用例,”英特尔软件和先进技术集团副总裁兼战略执行总经理Melissa Evers表示。
微软
“微软已选择采用SPDX作为我们所生产软件的SBOM格式,”微软软件供应链安全首席产品经理Adrian Diglio表示, “SPDX SBOM使得生产符合美国总统行政命令的SBOM变得更容易,SPDX在下一代模式设计方面所采取的方向将有助于进一步提高软件供应链的安全性。”
西门子
“ISO/IEC 5962:2021让我们拥有了第一个软件包元数据官方标准。SPDX十年来一直是事实采用的标准,成为官方标准则是水到渠成。这将使供应链中的许可合规变得更加轻松,特别是因为FOSSology、ORT、scancode和sw360等多种开源工具已经支持SPDX,”西门子开源高级经理Oliver Fendt表示。
索尼
“索尼团队使用多种方法来管理开源合规性和治理,”索尼集团公司高级副总裁、研发中心副总裁、软件战略委员会代表玉井久视表示, “一个例子是使用基于SPDX Lite的OSS管理模板,这是SPDX标准的一个紧子集。各团队必须能够快速审查软件的类型、版本和要求,而使用明确标准是这一流程中的关键一环。”
新思科技
“新思科技的Black Duck团队从一开始就参与SPDX项目,我本人有幸在十多年的时间里负责协调该项目的领导工作。来自数十家公司的代表为制定描述和传达软件包内容的标准方法这项重要工作做出了贡献,”Black Duck Audits总经理Phil Odence表示。
VMware
“SPDX是Automating Compliance Tooling所涵盖的各种工具之间至关重要的共同联系。通过SPDX,以不同语言针对不同软件目标编写的工具可围绕SBOM生产和消费实现一致性和互操作性。此外,SPDX不仅是针对合规性,其定义明确且不断发展的规范也能够体现安全性和供应链影响。这对于不断增长的SBOM工具社区非常重要,因为这些工具的目标是详尽体现出现代软件的复杂性,”VMware的ACT TAC主席兼开源工程师Rose Judge表示。
Wind River
“SPDX格式大幅促进了整个供应链中软件组件数据的共享。过去8年来,Wind River一直在使用SPDX格式向客户提供软件物料清单(SBOM)。客户通常会请求定制格式的SBOM数据。SPDX的标准化使我们能够以更低的成本提供更高质量的SBOM,”Wind River开源计划办公室主任兼OpenChain规范主席Mark Gisi表示。
关于SPDX
SPDX是用于沟通包括来源、许可、安全性和其他相关信息在内的软件物料清单信息的开放标准。SPDX通过为组织和社区提供共享重要数据的共同格式来减少冗余工作,从而简化和改善合规性、安全性和可靠性。如需更多信息,请访问我们的网站:spdx.org。
Linux基金会拥有注册商标并使用商标。有关Linux基金会的商标列表,请参阅我们的商标使用页面: https://www.linuxfoundation.org/trademark-usage。Linux是Linus Torvalds的注册商标。
媒体联系人
Jennifer Cloer
(Linux Foundation)
503-867-2304
jennifer@storychangesculture.com