SPDX十多年來獲得全球眾多最大規模公司的支持,在軟件和供應鏈安全的轉型時期正式成為國際認可的ISO/IEC JTC 1標準
舊金山2021年9月11日 /美通社/ -- Linux基金會、聯合開發基金會(Joint Development Foundation)和SPDX社區今天宣布,Software Package Data Exchange®(SPDX®)規范作為ISO/IEC 5962:2021發布(bu),被(bei)認定為安全性、許可合規和其他(ta)軟件供應鏈構件領域的國際開放標(biao)準。ISO/IEC JTC 1是一個獨(du)立的非政(zheng)府(�������fu)標(b������iao)準機構。
包括英特爾、微軟、西門子(zi)、索(suo)尼、新思科技、VMware和WindRiver在內(nei)的眾多������公司(si)已經使用SPDX在政策或工具(ju)中傳達(da)軟件材料清單(SBOM)信息(xi),以(yi)確(que)保在全(quan)球軟件供應鏈中實(shi)現合規和安全(quan)開發。
Linux基(ji)金會執行董事Jim Zemlin表示:“在如何(he)在整(zheng)個供應鏈中創(chuang)建、分發和(he)消費軟(ruan)件(jian)方面,SPDX對(dui)于建立更多的(de)(de)信任和(he)透明度(du)發揮著(zhu)重(zhong)要(yao)作用(yong)。從事實上的(de)(de)行業標準(zhun)過渡到正式的(de)(de)ISO/IEC JTC 1標準(zhun),讓SPDX得(de)以在全球范(fan)圍內顯著(zhu)提(ti)升采用�����(yong)率。SPDX現在完全能夠(gou)支(zhi)持整(zheng)個供應鏈中對(dui)軟(ruan)件(jian)安全性和(he)完整(zheng)性的(de)(de)國際要(yao)求。”
一款現(xian)代(dai)應(ying)用(yong)程序的(de)(de)百分(fen)之八十(shi)至九十(shi)(80%-90%)均來自開源軟件組(zu)件的(de)(de)組(zu)合。SBOM表示出������應(ying)用(yong)程序中包含(han)的(de)(de)軟件組(zu)件(開源、專有(you)或(huo)第三方(fang)),并詳細說(shuo)明其來源、許可和(he)安全屬(shu)性。SBOM被用(yong)作跨軟件供應(ying)鏈跟蹤和(he)追蹤組(zu)件的(de)(de)基本慣例做法的(de)(de)一部分(fen)。SBOM還有(you)助于(yu)主(zhu)動識別軟件問題和(he)風險(xian),并為其補救建立一個起點。
SPDX是包括(kuo)領先的(de)(de)(de)軟件組件分析(CAS)供(gong)應商在內的(de)(de)(de)各行(xing)業代(dai)表機構十年合(he)作的(de)(de)(de)結果,這使其成�����為(wei)最(zui)(����zui)強大、最(zui)(zui)成熟且最(zui)(zui)為(wei)廣泛采(cai)用的(de)(de)(de)SBOM標準。
“隨著過(guo)去十年軟(ruan)件(jian)供(gong)應(ying)鏈中出現(xian)(xian)新的(de)用例,SPDX社區已展�������(zhan)(zhan)示(shi)出發(fa)展(zhan)(zhan)和擴展(zhan)(zhan)標準以滿(man)足最新要(yao)求的(de)能力。這(zhe)真正體現(xian)(xian)了有(you)利于所有(you)行業的(de)協作的(de)力量,”SPDX技術團隊聯合負責人Kate Stewart表(biao)示(shi), “SPDX將繼(ji)續通過(guo)開放社區的(de)投入實現(xian)(xian)發(fa)展(zhan)(zhan),我(wo)們邀請包括提出新用例的(de)有(you)關方(fang)面�������(mian)在內(nei)的(de)所有(you)各(ge)方(fang)參與SPDX的(de)發(fa)展(zhan)(zhan),確保軟(ruan)件(jian)供(gong)應(ying)鏈的(de)安(an)全。”
有關如何參與SPDX并從中受益的更多信息,請訪問://spdx.dev。
要了解有關各公司和開源項目如何使用SPDX的更多信息,請觀看8月18日舉行的“為軟件供應鏈構建網絡安全”全體大會的錄像,網址為://events.linuxfou������ndation.org/supply-chain-�����town-hall/
ISO/IEC J������TC 1是一個獨立的非(fei)政府國(guo)際(ji)組織,總(zong)部設在瑞士日(ri)內瓦。其(qi)成員包括(kuo)超(chao)過165個國(guo)�������家標準(zhun)機(ji)構,這些(xie)機(ji)構的專家分享知識(shi)并制定(ding)支(zhi)持創新(xin)和(he)解決(jue)全球挑戰的自(zi)愿性(xing)、基(ji)于共識(shi)且(qie)具備(bei)市場(chang)相關性(xing)的國(guo)際(ji)標準(zhun)。
支持評論
英特爾
“軟(ruan)件安(an������)全和(he)信(xin)任對我們行(xing)業的成功(gong)至(zhi)關重要。英特(te)爾(er)(er)是SPDX規范(fan)開發(fa)的早期(qi)參與(yu)者(zhe),并將SPDX用于內部和(he)外(wai)部的眾(zhong)多軟(������ruan)件用例,”英特(te)爾(er)(er)軟(ruan)件和(he)先進技術集(ji)團副總(zong)裁兼戰略(lve)執行(xing)總(zong)經理Melissa Evers表示。
微軟
“微軟(ruan)已選擇�������采用SPDX作(zuo)為我們所(suo)生產軟(ruan)件(jian)的SBOM格(ge)式,”微軟(ruan)軟(ruan)件(jian)供應(ying)(ying)鏈安全首席產品經理Adrian Diglio表示(shi), “SPDX SBOM使(shi)得(de)生產符(fu)合美國總(zong)統行政(zheng)命令的SB�����OM變(bian)得(de)更容(rong)易,SPDX在(zai)下一代(dai)模式設計方面所(suo)采取的方向(xiang)將(jiang)有助(zhu)于(yu)進一步提高軟(ruan)件(jian)供應(ying)(ying)鏈的安全性。”
西門子
“ISO/IEC 5962:2021讓我(wo)們擁有了第一個軟件包元(yuan)數據(ju)官(guan)方標(biao)準(zhun)(zhun)。SPDX十年來一直是事實采用的(de)標(biao)準(zhun)(zhun),成(cheng)為官(guan)方標(biao)準(zhun)(zhun)則是水(shui)到(dao)渠成(cheng)。這將使(shi)供應鏈中的(de)許可合規變得更加輕松,特(te)別是因為FOSSology、ORT、scancode和sw360等多種開(kai)源工具已經(�����jing)支持SPDX,”西門子(zi)開(kai)源高(gao)級經(jing)理Oliver Fendt表(biao)示。
索尼
“索尼團(tuan)隊(dui)(dui)使(shi)用多種方(fang)法來管理(li)�����開源合規性和治理(li),”索尼集團(tuan)公司高級副(fu)總(zong)裁、研發中心(xin)副(fu)總(zong)裁、軟件戰略委員會代表玉(yu)井久視表示(shi), “一(yi)(yi)個(�����ge)例子(zi)是(shi)使(shi)用基于SPDX Lite的(de)OSS管理(li)模板,這是(shi)SPDX標(biao)準的(de)一(yi)(yi)個(ge)緊子(zi)集。各(ge)團(tuan)隊(dui)(dui)必須(xu)能夠快速審查軟件的(de)類型、版(ban)本和要求,而使(shi)用明(ming)確標(biao)準是(shi)這一(yi)(yi)流程(cheng)中的(de)關鍵一(yi)(yi)環。”
新思科技
“新思科技(ji)的Black Duck團隊從一開始就(jiu)參與SPDX項(xiang)目�������,我本人有(you)幸在十多年的時間里負責協調該項(xiang)目的領導(dao)工作。來自(zi)數(shu)十家公司的代表為制定描(miao)述和傳達軟件包內容的標準方(fang)法這項(xiang)重要工作做出了貢獻,”Black������� Duck Audits總經(jing)理Phil Odence表示。
VMware
“SPDX是(shi)Automating Compliance Tooling所(suo)涵蓋的(de)(de)各(ge)種工(gong������)具之(zhi)間至關重(zhong)要的(de)(de)共同聯系。通過SPDX,以不(bu)同語言針(zhen)對(dui)不(bu)同軟(ruan)件目標(biao)編寫的(de)(de)工(gong)具可圍繞SBOM生(sheng)產和(he)消費實(shi)現一致(zhi)性和(he)互(hu)操(cao)作性。此外,SPDX不(bu)僅(jin)是(shi)針(zhen)對(dui)合規性,其定義明(ming)確(que)且不(bu)斷(duan)發展的(de)(de)規范也(ye)能夠體(ti)現安全性和(he)供應鏈影(ying)響。這(zhe)對(dui)于不(bu)斷(duan)增長(chang)的(de)(de)SBOM工(gong)具社(she)區非常(chang)重(zhong)要,因(yin)為這(zhe)些工�������(gong)具的(de)(de)目標(biao)是(shi)詳(xiang)盡體(ti)現出現代軟(ruan)件的(de)(de)復雜性,”VMware的(de)(de)ACT TAC主(zhu)席兼開(kai)源工(gong)程師Rose Judge表示。
Wind River
“SPDX格(ge)式(shi)大(da)幅促(cu)進了(le)整個供應鏈中(zhong)軟(ruan)件(jian)組件(jian)數據(ju)的(de)共享(xiang)。過(guo)去8年來,Wind River一直在使用(yong)SPDX格(ge)式(shi)向客戶提供軟(ruan)件(jian)物料清(qing)單(dan����)(SBOM)。客戶通常會請求定制格(ge)式(shi)的(de)SBOM數據(ju)。SPDX的(de)標(biao)準化使我(wo)們能夠以更(geng)低的(de)成本提供更(geng�������)高(gao)質量的(de)SBOM,”Wind River開(kai)源計劃辦公室(shi)主任兼OpenChain規范主席Mark Gisi表示。
關于SPDX
SPDX是用于溝(gou)通包括(kuo)來(lai)源、許可、安全性(xing)和其(qi)他相關(guan)信(xin)息在內的(de)軟(ruan)件物料(liao)清單信(xin)息的(de)開放標準。SPD�������X通過(guo)為組織和社區提供(gong)共(gong)享重(zhong)要數(shu)據的(de)共(gong)同格式來(lai)減少(shao)冗(rong)余工作,從而簡化和改(gai)善合規(gui)性(xing)、安全性(xing)和������可靠性(xing)。如需更多信(xin)息,請訪問我們的(de)網站:spdx.org。
Linux基金會擁有注冊商標并使用商標。有關Linux基金會的商標列表,請參閱我們的商標使用頁面: //www.linuxfoundation.org/trademark-usage。Linux是Linus Torvalds的注冊商標。
媒體聯系人
Jennifer Cloer
(Linux Foundation)
503-867-2304
