SPDX成为国际认可的软件物料清单标准
(全球 TMT 2021 年 9 月 11 日)Linux 基金会、联合发展基金会(Joint Development Foundation)和SPDX 社区宣布软件包数据交换? (SPDX?) 规范作为 ISO/IEC 5962:2021 发布,被公认为安全、许可合规性和其他软件供应链组件领域的国际开放标准。 ISO/IEC JTC 1 是一个独立的非政府标准机构。
许多公司,包括英特尔、微软、西门子、索尼、Synopsys、VMware 和 WindRiver,已经使用 SPDX 在政策或工具中传达软件物料清单 (SBOM) 信息,以确保全球软件实现合规性和安全性供应链的发展。
Linux 基金会执行董事 Jim Zemlin 表示:“SPDX 在如何在整个供应链中创建、分发和使用软件方面建立更多信任和透明度方面发挥着重要作用。从行业标准到官方 ISO/IEC JTC 1 标准的过渡使 SPDX 能够显着提高全球的采用率。 SPDX 现在完全有能力支持整个供应链中软件安全性和完整性的国际要求。”
现代应用程序的百分之八十至九十 (80%-90%) 来自开源软件的组合组件。SBOM 指示应用程序中包含的软件组件(开源、专有或第三方),并指定其来源、许可和安全属性。SBOM 用作跨软件跟踪和跟踪组件的基本实践的一部分供应链。SBOM 还有助于主动识别软件问题和风险,并建立补救的起点。
SPDX 是包括领先的软件组件分析 (CAS) 供应商在内的行业代表十年合作的结果,这使它成为最强大、最成熟和被广泛采用的 SBOM 标准。