Linux基金会(TheLinuxFoundation)近日宣布软件包数据交换(SPDX,SoftwarePackageDataExchange)成为国际标准,将成为ISO/IEC5962:2021并被公认为软件供应链工件的开放标准,包括许可证合规性和安全性。SPDX是一种文件格式,用于记录有关分发给定计算机软件的软件许可证的信息。SPDX由代表20多个不同组织的SPDX工作组编写,并得到Linux基金会的支持。Linux基金会执行董事JimZemlin表示:“SPDX在软件创建、分发和使用的整个供应链中建立更多信任和透明度方面发挥着重要作用。从事实上的行业标准到正式的行业标准的转变ISO/IECJTC1标准大大增加了SPDX在全球范围内的采用。SPDX现在完全有能力支持整个供应链中软件安全性和完整性的国际要求。为了在全球软件供应链中实现安全和合规的开发,公司如VMware、Synopsys、TexasInstruments、Sony、Philips、Microsoft和Intel已采用SPDX在工具或策略中传达软件物料清单(SBOM)信息。SBOM用作基本系统的一部分,用于在整个软件供应过程中跟踪组件链。它们还用于帮助识别软件组件问题和风险,并确定补救的起点。MelissaEvers,英特尔副总裁表示:软件安全和信任对我们行业的成功至关重要。英特尔很早就参与了SPDX规范的开发,并将SPDX用于内部和外部软件用例。随着前段时间发生的SolarWinds供应链攻击等有针对性的软件供应链攻击,无数企业/组织苦苦挣扎,SPDX有望满足美国和欧盟、亚太、中东和非洲的网络安全行政命令要求用于跟踪开源软件组件。本文转自OSCHINA文章标题:SPDX正式成为解决供应链安全问题的国际标准本文地址:https://www.oschina.net/news/159733/spdx-becomes-isoiec-jtc-1-标准
