SPDX十多年來(lái)獲得全球眾多最大規(guī)模公司的支持���,在軟件和供應(yīng)鏈安全的轉(zhuǎn)型時(shí)期正式成為國(guó)際認(rèn)可的ISO/IEC JTC 1標(biāo)準(zhǔn)
舊金山2021年9月11日 /美通社/ -- Linux基金會(huì)、聯(lián)合開(kāi)發(fā)基金會(huì)(Joint Development Foundation)和SPDX社區(qū)今天宣布��,Software Package Data Exchange®(SPDX®)規(guī)范作為ISO/IEC 5962:2021發(fā)布��,被認(rèn)定為安全性�、許可合規(guī)和其他軟件供應(yīng)鏈構(gòu)件領(lǐng)域的國(guó)際開(kāi)放標(biāo)準(zhǔn)��。ISO/IEC JTC 1是一個(gè)獨(dú)立的非政府標(biāo)準(zhǔn)機(jī)構(gòu)���。
包括英特爾�����、微軟�、西門子、索尼�����、新思科技��、VMware和WindRiver在內(nèi)的眾多公司已經(jīng)使用SPDX在政策或工具中傳達(dá)軟件材料清單(SBOM)信息��,以確保在全球軟件供應(yīng)鏈中實(shí)現(xiàn)合規(guī)和安全開(kāi)發(fā)���。
Linux基金會(huì)執(zhí)行董事Jim Zemlin表示:“在如何在整個(gè)供應(yīng)鏈中創(chuàng)建��、分發(fā)和消費(fèi)軟件方面���,SPDX對(duì)于建立更多的信任和透明度發(fā)揮著重要作用。從事實(shí)上的行業(yè)標(biāo)準(zhǔn)過(guò)渡到正式的ISO/IEC JTC 1標(biāo)準(zhǔn)�����,讓SPDX得以在全球范圍內(nèi)顯著提升采用率。SPDX現(xiàn)在完全能夠支持整個(gè)供應(yīng)鏈中對(duì)軟件安全性和完整性的國(guó)際要求��?���!?
一款現(xiàn)代應(yīng)用程序的百分之八十至九十(80%-90%)均來(lái)自開(kāi)源軟件組件的組合。SBOM表示出應(yīng)用程序中包含的軟件組件(開(kāi)源�、專有或第三方),并詳細(xì)說(shuō)明其來(lái)源�、許可和安全屬性。SBOM被用作跨軟件供應(yīng)鏈跟蹤和追蹤組件的基本慣例做法的一部分����。SBOM還有助于主動(dòng)識(shí)別軟件問(wèn)題和風(fēng)險(xiǎn),并為其補(bǔ)救建立一個(gè)起點(diǎn)����。
SPDX是包括領(lǐng)先的軟件組件分析(CAS)供應(yīng)商在內(nèi)的各行業(yè)代表機(jī)構(gòu)十年合作的結(jié)果,這使其成為最強(qiáng)大�、最成熟且最為廣泛采用的SBOM標(biāo)準(zhǔn)。
“隨著過(guò)去十年軟件供應(yīng)鏈中出現(xiàn)新的用例����,SPDX社區(qū)已展示出發(fā)展和擴(kuò)展標(biāo)準(zhǔn)以滿足最新要求的能力。這真正體現(xiàn)了有利于所有行業(yè)的協(xié)作的力量��,”SPDX技術(shù)團(tuán)隊(duì)聯(lián)合負(fù)責(zé)人Kate Stewart表示�����, “SPDX將繼續(xù)通過(guò)開(kāi)放社區(qū)的投入實(shí)現(xiàn)發(fā)展�,我們邀請(qǐng)包括提出新用例的有關(guān)方面在內(nèi)的所有各方參與SPDX的發(fā)展,確保軟件供應(yīng)鏈的安全��?����!?
有關(guān)如何參與SPDX并從中受益的更多信息�����,請(qǐng)?jiān)L問(wèn):https://spdx.dev�。
要了解有關(guān)各公司和開(kāi)源項(xiàng)目如何使用SPDX的更多信息,請(qǐng)觀看8月18日舉行的“為軟件供應(yīng)鏈構(gòu)建網(wǎng)絡(luò)安全”全體大會(huì)的錄像�����,網(wǎng)址為:https://events.linuxfoundation.org/supply-chain-town-hall/
ISO/IEC JTC 1是一個(gè)獨(dú)立的非政府國(guó)際組織��,總部設(shè)在瑞士日內(nèi)瓦���。其成員包括超過(guò)165個(gè)國(guó)家標(biāo)準(zhǔn)機(jī)構(gòu)�,這些機(jī)構(gòu)的專家分享知識(shí)并制定支持創(chuàng)新和解決全球挑戰(zhàn)的自愿性、基于共識(shí)且具備市場(chǎng)相關(guān)性的國(guó)際標(biāo)準(zhǔn)���。
支持評(píng)論
英特爾
“軟件安全和信任對(duì)我們行業(yè)的成功至關(guān)重要�。英特爾是SPDX規(guī)范開(kāi)發(fā)的早期參與者���,并將SPDX用于內(nèi)部和外部的眾多軟件用例��,”英特爾軟件和先進(jìn)技術(shù)集團(tuán)副總裁兼戰(zhàn)略執(zhí)行總經(jīng)理Melissa Evers表示�。
微軟
“微軟已選擇采用SPDX作為我們所生產(chǎn)軟件的SBOM格式���,”微軟軟件供應(yīng)鏈安全首席產(chǎn)品經(jīng)理Adrian Diglio表示�, “SPDX SBOM使得生產(chǎn)符合美國(guó)總統(tǒng)行政命令的SBOM變得更容易��,SPDX在下一代模式設(shè)計(jì)方面所采取的方向?qū)⒂兄谶M(jìn)一步提高軟件供應(yīng)鏈的安全性�。”
西門子
“ISO/IEC 5962:2021讓我們擁有了第一個(gè)軟件包元數(shù)據(jù)官方標(biāo)準(zhǔn)����。SPDX十年來(lái)一直是事實(shí)采用的標(biāo)準(zhǔn),成為官方標(biāo)準(zhǔn)則是水到渠成���。這將使供應(yīng)鏈中的許可合規(guī)變得更加輕松�����,特別是因?yàn)镕OSSology����、ORT�、scancode和sw360等多種開(kāi)源工具已經(jīng)支持SPDX,”西門子開(kāi)源高級(jí)經(jīng)理Oliver Fendt表示�����。
索尼
“索尼團(tuán)隊(duì)使用多種方法來(lái)管理開(kāi)源合規(guī)性和治理���,”索尼集團(tuán)公司高級(jí)副總裁�、研發(fā)中心副總裁��、軟件戰(zhàn)略委員會(huì)代表玉井久視表示�����, “一個(gè)例子是使用基于SPDX Lite的OSS管理模板���,這是SPDX標(biāo)準(zhǔn)的一個(gè)緊子集���。各團(tuán)隊(duì)必須能夠快速審查軟件的類型��、版本和要求����,而使用明確標(biāo)準(zhǔn)是這一流程中的關(guān)鍵一環(huán)����。”
新思科技
“新思科技的Black Duck團(tuán)隊(duì)從一開(kāi)始就參與SPDX項(xiàng)目�,我本人有幸在十多年的時(shí)間里負(fù)責(zé)協(xié)調(diào)該項(xiàng)目的領(lǐng)導(dǎo)工作。來(lái)自數(shù)十家公司的代表為制定描述和傳達(dá)軟件包內(nèi)容的標(biāo)準(zhǔn)方法這項(xiàng)重要工作做出了貢獻(xiàn)��,”Black Duck Audits總經(jīng)理Phil Odence表示����。
VMware
“SPDX是Automating Compliance Tooling所涵蓋的各種工具之間至關(guān)重要的共同聯(lián)系。通過(guò)SPDX���,以不同語(yǔ)言針對(duì)不同軟件目標(biāo)編寫的工具可圍繞SBOM生產(chǎn)和消費(fèi)實(shí)現(xiàn)一致性和互操作性���。此外���,SPDX不僅是針對(duì)合規(guī)性,其定義明確且不斷發(fā)展的規(guī)范也能夠體現(xiàn)安全性和供應(yīng)鏈影響����。這對(duì)于不斷增長(zhǎng)的SBOM工具社區(qū)非常重要,因?yàn)檫@些工具的目標(biāo)是詳盡體現(xiàn)出現(xiàn)代軟件的復(fù)雜性����,”VMware的ACT TAC主席兼開(kāi)源工程師Rose Judge表示�。
Wind River
“SPDX格式大幅促進(jìn)了整個(gè)供應(yīng)鏈中軟件組件數(shù)據(jù)的共享。過(guò)去8年來(lái)���,Wind River一直在使用SPDX格式向客戶提供軟件物料清單(SBOM)����?���?蛻敉ǔ?huì)請(qǐng)求定制格式的SBOM數(shù)據(jù)。SPDX的標(biāo)準(zhǔn)化使我們能夠以更低的成本提供更高質(zhì)量的SBOM��,”Wind River開(kāi)源計(jì)劃辦公室主任兼OpenChain規(guī)范主席Mark Gisi表示。
關(guān)于SPDX
SPDX是用于溝通包括來(lái)源���、許可��、安全性和其他相關(guān)信息在內(nèi)的軟件物料清單信息的開(kāi)放標(biāo)準(zhǔn)���。SPDX通過(guò)為組織和社區(qū)提供共享重要數(shù)據(jù)的共同格式來(lái)減少冗余工作,從而簡(jiǎn)化和改善合規(guī)性�����、安全性和可靠性���。如需更多信息�,請(qǐng)?jiān)L問(wèn)我們的網(wǎng)站:spdx.org�����。
Linux基金會(huì)擁有注冊(cè)商標(biāo)并使用商標(biāo)��。有關(guān)Linux基金會(huì)的商標(biāo)列表��,請(qǐng)參閱我們的商標(biāo)使用頁(yè)面: https://www.linuxfoundation.org/trademark-usage�����。Linux是Linus Torvalds的注冊(cè)商標(biāo)。
媒體聯(lián)系人
Jennifer Cloer
(Linux Foundation)
503-867-2304
jennifer@storychangesculture.com
