Linux基金會的SPDX成為ISO/IEC JTC 1標準 以解決供應鏈安全問題

Linux基金會宣布,軟件包數據交換(SPDX)已經成為一項國際標準,以ISO/IEC 5962:2021的形式發布,並被公認為軟件供應鏈工件的開放標準,包括全套許可證合規性和安全性。該非營利組織的執行董事Jim Zemlin表示:

1631193013_linux.jpg

SPDX在整個供應鏈的軟件創建、分發和消費過程中建立更多信任和透明度方面發揮着重要作用。從一個事實上的行業標準過渡到一個正式的ISO/IEC JTC 1標準,使SPDX在全球範圍內的應用大大增加。SPDX現在完全有能力支持整個供應鏈對軟件安全性和完整性的國際要求。

為了在整個全球軟件供應鏈中實現安全和合規的開發,VMware、Synopsys、德州儀器、索尼、飛利浦、微軟和英特爾等公司都採用了SPDX在工具或策略中傳遞軟件物料清單(SBOM)信息。SBOM被用作基本系統的一部分,用於跟蹤和追蹤整個軟件供應鏈中的組件,它們還被用來幫助識別軟件組件問題和風險,在出現問題的時候確定補救的起點。

英特爾軟件和先進技術部門主管,公司副總裁梅麗莎·埃弗斯評論說。

軟件安全和信任對我們行業的成功至關重要。英特爾很早就參與了SPDX規範的開發,並在內部和外部的一些軟件使用案例中使用了SPDX。

SPDX預計將滿足美國總統拜登的網絡安全行政命令以及歐盟、亞洲/太平洋、中東和非洲對追蹤開源軟件組件的要求。

了解SPDX:

https://spdx.dev/

了解ISO/IEC JTC 1標準:

https://www.iso.org/standard/81870.html

(0)
上一篇 2021-09-09 23:39
下一篇 2021-09-09 23:39

相关推荐