Linux 基金会(The Linux Foundation)近日 宣布, 软件包数据交换(SPDX,Software Package Data Exchange)已经成为一项国际标准,将以 ISO/IEC 5962:2021 的形式发布,并被公认为软件供应链工件的开放标准,其中包括许可证合规性和安全性。
SPDX 是一种文件格式,用于记录有关分发给定计算机软件的软件许可证的信息。SPDX 是由 SPDX 工作组编写的,该工作组代表了 20 多个不同的组织,由 Linux 基金会所支持。
Linux 基金会的执行董事 Jim Zemlin 表示:
- SPDX 在整个供应链的软件创建、分发和使用过程中在建立更多信任和透明度方面发挥着重要作用。从一个事实上的行业标准过渡到一个正式的 ISO/IEC JTC 1 标准,使 SPDX 在全球范围内的应用大大增加。SPDX 现在完全有能力支撑起整个供应链对软件安全性和完整性的国际要求。
为了在整个全球软件供应链中实现安全和合规的开发,VMware、Synopsys、德州仪器、索尼、飞利浦、微软和英特尔等公司都采用了 SPDX 在工具或政策中传递软件材料清单(SBOM)信息。SBOM 被用作基本系统的一部分,用于追踪整个软件供应链中的组件。它们还被用来帮助识别软件组件问题和风险,并确定补救的起点。
英特尔的副总裁 Melissa Evers 表示:
- 软件安全和信任对我们行业的成功至关重要。英特尔很早就参与了 SPDX 规范的制定中,并在内部和外部的软件使用案例中使用了 SPDX。
随着无数企业/组织因有针对性的软件供应链攻击(如前段时间发生的 SolarWinds 供应链攻击)而陷入困境,SPDX 预计将满足美国的网络安全行政命令以及欧盟、亚洲/太平洋、中东和非洲对追踪开源软件组件的要求。
本文转自OSCHINA
本文标题:SPDX 正式成为国际标准,以解决供应链安全问题
本文地址:https://www.oschina.net/news/159733/spdx-becomes-isoiec-jtc-1-standard