（全球TMT2021年9月11日讯）Linux基金会、联合开发基金会（Joint Development Foundation）和SPDX社区宣布，Software Package Data Exchange®（SPDX®）规范作为ISO/IEC 5962:2021发布，被认定为安全性、许可合规和其他软件供应链构件领域的国际开放标准。ISO/IEC JTC 1是一个独立的非政府标准机构。

包括英特尔、微软、西门子、索尼、新思科技、VMware和WindRiver在内的众多公司已经使用SPDX在政策或工具中传达软件材料清单（SBOM）信息，以确保在全球软件供应链中实现合规和安全开发。

Linux基金会执行董事Jim Zemlin表示：“在如何在整个供应链中创建、分发和消费软件方面，SPDX对于建立更多的信任和透明度发挥着重要作用。从事实上的行业标准过渡到正式的ISO/IEC JTC 1标准，让SPDX得以在全球范围内显著提升采用率。SPDX现在完全能够支持整个供应链中对软件安全性和完整性的国际要求。”

一款现代应用程序的百分之八十至九十（80%-90%）均来自开源软件组件的组合。SBOM表示出应用程序中包含的软件组件（开源、专有或第三方），并详细说明其来源、许可和安全属性。SBOM被用作跨软件供应链跟踪和追踪组件的基本惯例做法的一部分。SBOM还有助于主动识别软件问题和风险，并为其补救建立一个起点。

SPDX是包括领先的软件组件分析（CAS）供应商在内的各行业代表机构十年合作的结果，这使其成为最强大、最成熟且最为广泛采用的SBOM标准。