Linux 基金會(The Linux Foundation)近日 宣布， 軟件包數(shù)據(jù)交換(SPDX，Software Package Data Exchange)已經(jīng)成為一項國際標(biāo)準(zhǔn)，將以 ISO/IEC 5962:2021 的形式發(fā)布，并被公認為軟件供應(yīng)鏈工件的開放標(biāo)準(zhǔn)，其中包括許可證合規(guī)性和安全性。

[[423258]]

SPDX 是一種文件格式，用于記錄有關(guān)分發(fā)給定計算機軟件的軟件許可證的信息。SPDX 是由 SPDX 工作組編寫的，該工作組代表了 20 多個不同的組織，由 Linux 基金會所支持。

Linux 基金會的執(zhí)行董事 Jim Zemlin 表示：

• SPDX 在整個供應(yīng)鏈的軟件創(chuàng)建、分發(fā)和使用過程中在建立更多信任和透明度方面發(fā)揮著重要作用。從一個事實上的行業(yè)標(biāo)準(zhǔn)過渡到一個正式的 ISO/IEC JTC 1 標(biāo)準(zhǔn)，使 SPDX 在全球范圍內(nèi)的應(yīng)用大大增加。SPDX 現(xiàn)在完全有能力支撐起整個供應(yīng)鏈對軟件安全性和完整性的國際要求。

為了在整個全球軟件供應(yīng)鏈中實現(xiàn)安全和合規(guī)的開發(fā)，VMware、Synopsys、德州儀器、索尼、飛利浦、微軟和英特爾等公司都采用了 SPDX 在工具或政策中傳遞軟件材料清單(SBOM)信息。SBOM 被用作基本系統(tǒng)的一部分，用于追蹤整個軟件供應(yīng)鏈中的組件。它們還被用來幫助識別軟件組件問題和風(fēng)險，并確定補救的起點。

英特爾的副總裁 Melissa Evers 表示：

• 軟件安全和信任對我們行業(yè)的成功至關(guān)重要。英特爾很早就參與了 SPDX 規(guī)范的制定中，并在內(nèi)部和外部的軟件使用案例中使用了 SPDX。

隨著無數(shù)企業(yè)/組織因有針對性的軟件供應(yīng)鏈攻擊(如前段時間發(fā)生的 SolarWinds 供應(yīng)鏈攻擊)而陷入困境，SPDX 預(yù)計將滿足美國的網(wǎng)絡(luò)安全行政命令以及歐盟、亞洲/太平洋、中東和非洲對追蹤開源軟件組件的要求。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：SPDX 正式成為國際標(biāo)準(zhǔn)，以解決供應(yīng)鏈安全問題

本文地址：https://www.oschina.net/news/159733/spdx-becomes-isoiec-jtc-1-standard