SPDX成为国际认可的软件物料清单标准

(全球TMT2021年9月11日讯)Linux基金会、联合开发基金会(Joint Development Foundation)和SPDX社区宣布,Software Package Data Exchange®(SPDX®)规范作为ISO/IEC 5962:2021发布,被认定为安全性、许可合规和其他软件供应链构件领域的国际开放标准。ISO/IEC JTC 1是一个独立的非政府标准机构。

包括英特尔、微软、西门子、索尼、新思科技、VMware和WindRiver在内的众多公司已经使用SPDX在政策或工具中传达软件材料清单(SBOM)信息,以确保在全球软件供应链中实现合规和安全开发。

Linux基金会执行董事Jim Zemlin表示:“在如何在整个供应链中创建、分发和消费软件方面,SPDX对于建立更多的信任和透明度发挥着重要作用。从事实上的行业标准过渡到正式的ISO/IEC JTC 1标准,让SPDX得以在全球范围内显著提升采用率。SPDX现在完全能够支持整个供应链中对软件安全性和完整性的国际要求。”

一款现代应用程序的百分之八十至九十(80%-90%)均来自开源软件组件的组合。SBOM表示出应用程序中包含的软件组件(开源、专有或第三方),并详细说明其来源、许可和安全属性。SBOM被用作跨软件供应链跟踪和追踪组件的基本惯例做法的一部分。SBOM还有助于主动识别软件问题和风险,并为其补救建立一个起点。

SPDX是包括领先的软件组件分析(CAS)供应商在内的各行业代表机构十年合作的结果,这使其成为最强大、最成熟且最为广泛采用的SBOM标准。