中国 KubeCon + CloudNativeCon + Open Source Summit 虚拟大会
12 月 9 日至 10 日
https://www.lfasiallc.com/kubecon-cloudnativecon-open-source-summit-china/
在软件和供应链安全的转型时期,SPDX 正式成为国际公认的 ISO/IEC JTC 1 标准
旧金山,2021 年 9 月 9 日——Linux 基金会、联合开发基金会和 SPDX 社区今天宣布,SPDX®(Software Package Data Exchange®)规范已发布为ISO/IEC 5962:2021[1],并被公认为安全、许可遵从和其他软件供应链工件的国际开放标准。ISO/IEC JTC 1 是一个独立的、非政府的标准组织。
英特尔、微软、西门子、索尼、Synopsys、VMware 和 WindRiver 只是已经使用 SPDX 在政策或工具中交流软件材料清单(SBOM)信息,以确保全球软件供应链兼容和安全开发的公司中的一小部分。
“在如何在整个供应链中创建、分发和消费软件方面,SPDX 在建立更多的信任和透明度方面发挥着重要作用。从事实上的行业标准向正式的 ISO/IEC JTC 1 标准的转变,使 SPDX 在全球舞台上的应用急剧增加。”Linux 基金会执行董事 Jim Zemlin 说。“SPDX 现在完全可以支持整个供应链对软件安全和完整性的国际要求。”
现代应用程序的 80%到 90%是由开源软件组件组装而成的。SBOM 说明了应用程序中包含的软件组件(开源、私有或第三方),并详细说明了它们的来源、许可证和安全属性。SBOM 被用作跨软件供应链跟踪和跟踪组件的基本实践的一部分。SBOM 还帮助主动识别软件问题和风险,并为其补救建立起点。
SPDX 是跨行业代表十年协作的结果,包括领先的软件组合分析(SCA)供应商——使其成为最健壮、最成熟、最被采纳的 SBOM 标准。
“在过去的十年中,随着新的用例在软件供应链中出现,SPDX 社区已经证明了其发展和扩展标准以满足最新需求的能力。这真的体现了合作工作的力量,这有利于所有行业,”SPDX 技术团队联合领导 Kate Stewart 说。“SPDX 将继续在开放社区的投入下发展,我们邀请所有人,包括那些有新的用例的人,参与 SPDX 的发展,确保软件供应链的安全。”
欲了解更多关于如何参与和受益于 SPDX 的信息,请访问:https://spdx.dev。
参考资料
ISO/IEC 5962:2021: https://www.iso.org/standard/81870.html
点击【阅读原文】阅读网站原文。
联系关于Linux基金会
Linux基金会是非营利性组织,是技术生态系统的重要组成部分。
Linux基金会通过提供财务和智力资源、基础设施、服务、活动以及培训来支持创建永续开源生态系统。在共享技术的创建中,Linux基金会及其项目通过共同努力形成了非凡成功的投资。请长按以下二维码进行关注。
本文分享自微信公众号 - LFAPAC(gh_8442c14fe49e)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。