Поддерживаемая многими крупнейшими мировыми компаниями на протяжении более десяти лет, спецификация обмена данными между пакетами программного обеспечения (SPDX) теперь признана во всем мире стандартом ISO / Стандарт IEC JTC 1.
Linux Foundation объявил в четверг, что спецификация SPDX опубликована как ISO / IEC 5962: 2021. Теперь это открытый стандарт безопасности, соответствия лицензий и других артефактов цепочки поставок программного обеспечения.
Это происходит в эпоху трансформации программного обеспечения и безопасности цепочки поставок.
ISO / IEC JTC 1 — это независимый неправительственный орган по стандартизации, расположенный в Женеве. В его состав входят более 165 национальных органов по стандартизации. Его эксперты обмениваются знаниями и разрабатывают добровольные, основанные на консенсусе, актуальные для рынка международные стандарты, которые поддерживают инновации и обеспечивают решения глобальных проблем.
Поскольку 90 процентов современного приложения собрано из программных компонентов с открытым исходным кодом, это значительный беспроигрышный вариант для LF и открытого исходного кода.
Intel, Microsoft, Phillips, Sony, Texas Instruments, Synopsys и VMware относятся к числу глобальных компаний, использующих SPDX для передачи информации о спецификациях программного обеспечения (SBOM) в политиках или инструментах, чтобы обеспечить совместимость и безопасность разработки в глобальных цепочках поставок программного обеспечения.
«SPDX играет важную роль в укреплении доверия и прозрачности в том, как программное обеспечение создается, распространяется и используется в цепочках поставок. Переход от промышленного стандарта де-факто к официальному стандарту ISO / IEC JTC 1 делает SPDX более популярным на мировой арене », — сказал LinuxInsider Джим Землин, исполнительный директор Linux Foundation
.
Землин добавил, что SPDX теперь идеально подходит для поддержки международных требований к безопасности и целостности программного обеспечения в цепочке поставок.
SBOM Big Deal for Open Source
Безопасность программного обеспечения и доверие имеют решающее значение для успеха нашей отрасли, по словам Мелиссы Эванс, вице-президента группы программного обеспечения и передовых технологий и генерального менеджера по стратегии реализации в Intel.
«Intel была одним из первых участников разработки спецификации SPDX и использует SPDX как внутри компании, так и за ее пределами для ряда сценариев использования программного обеспечения», — сказала она.
SPDX органично эволюционировал за последние 10 лет благодаря сотрудничеству сотен компаний, включая ведущих поставщиков программного обеспечения Composition Analysis (SCA). Это делает его наиболее надежным, зрелым и принятым стандартом спецификации программного обеспечения.
Наличие SBOM предоставляет список программных компонентов, содержащихся в приложении, независимо от того, является ли это программное обеспечение с открытым исходным кодом, проприетарным или сторонним. В нем подробно описаны их атрибуты качества, лицензии и безопасности.
SBOM используются как часть основной практики для отслеживания и отслеживания компонентов в цепочках поставок программного обеспечения. SBOM также помогают упреждающе выявлять проблемы и риски программных компонентов. Это, в свою очередь, устанавливает отправную точку для их восстановления.
Ключевые сторонники внедрения SPDX
Microsoft приняла SPDX в качестве предпочтительного формата SBOM для своего программного обеспечения, — отметил Адриан Диглио, главный программный менеджер по безопасности цепочки поставок программного обеспечения в Microsoft ». выпускать SBOM в соответствии с Указом Президента США, и направление, которое SPDX принимает при разработке своей схемы следующего поколения, поможет еще больше повысить безопасность цепочки поставок программного обеспечения », — сказал он
.
SPDX является неотъемлемой частью инструментов, входящих в состав Automating Compliance Tooling (ACT) Umbrella, — добавила Роуз Джадж, председатель ACT TAC и инженер по открытым исходным кодом в VMware. Он позволяет инструментам, написанным на разных языках и для разных программных целей, достичь согласованности и взаимодействия при производстве и использовании SBOM.
«SPDX предназначен не только для соответствия требованиям. Четко определенная и постоянно развивающаяся спецификация также может отражать последствия для безопасности и цепочки поставок. Это невероятно важно для растущего сообщества инструментов SBOM, поскольку они стремятся полностью представить тонкости современного программного обеспечения », — сказал Джадж.
Формат SPDX значительно упрощает обмен данными о программных компонентах в цепочке поставок. Wind River предоставляет своим клиентам спецификации программного обеспечения, использующие формат SPDX, в течение последних восьми лет, заметил Марк Гизи, директор программного офиса Wind River с открытым исходным кодом и председатель по спецификациям OpenChain.
«Часто клиенты запрашивают данные SBOM в настраиваемом формате. Стандартизация SPDX позволила нам поставлять SBOM более высокого качества по более низкой цене », — сказал он.
Подробнее
Чтобы узнать больше о том, как компании и проекты с открытым исходным кодом используют SPDX, доступны записи ратуши «Обеспечение кибербезопасности в цепочке поставок программного обеспечения», которая состоялась 18 августа 2021 года, и можно посмотреть здесь.
