Linux基金會的SPDX成為ISO/IEC JTC 1標準 以解決供應鏈安全問題
Linux基金會宣佈,軟體包數據交換(SPDX)已經成為一項國際標準,以ISO/IEC 5962:2021的形式發佈,並被公認為軟體供應鏈工件的開放標準,包括全套許可證合規性和安全性。 該非營利組織的執行董事Jim Zemlin表示:
SPDX在整個供應鏈的軟體創建、分發和消費過程中建立更多信任和透明度方面發揮著重要作用。 從一個事實上的行業標準過渡到一個正式的ISO/IEC JTC 1標準,使SPDX在全球範圍內的應用大大增加。 SPDX現在完全有能力支持整個供應鏈對軟體安全性和完整性的國際要求。
為了在整個全球軟體供應鏈中實現安全和合規的開發,VMware、Synopsys、德州儀器、索尼、飛利浦、微軟和英特爾等公司都採用了SPDX在工具或策略中傳遞軟體物料清單(SBOM)資訊。 SBOM被用作基本系統的一部分,用於跟蹤和追蹤整個軟體供應鏈中的元件,它們還被用來幫助識別軟體元件問題和風險,在出現問題的時候確定補救的起點。
英特爾軟體和先進技術部門主管,公司副總裁梅麗莎·埃弗斯評論說。
軟體安全和信任對我們行業的成功至關重要。 英特爾很早就參與了SPDX規範的開發,並在內部和外部的一些軟體使用案例中使用了SPDX。
SPDX預計將滿足美國總統拜登的網路安全行政命令以及歐盟、亞洲/太平洋、中東和非洲對追蹤開源軟體元件的要求。
瞭解SPDX:
瞭解ISO/IEC JTC 1標準: