SPDX成為國際認可的軟件物料清單標準

SPDX十多年來獲得全球眾多最大規模公司的支持，在軟件和供應鏈安全的轉型時期正式成為國際認可的ISO/IEC JTC 1標準

舊金山2021年9月11日 /美通社/ -- Linux基金會、聯合開發基金會（Joint Development Foundation）和SPDX社區今天宣布，Software Package Data Exchange®（SPDX®）規范作為ISO/IEC 5962:2021發布，被認定為安全性、許可合規和其他軟件供應鏈構件領域的國際開放標準。ISO/IEC JTC 1是一個獨立的非政府標準機構。

包括英特爾、微軟、西門子、索尼、新思科技、VMware和WindRiver在內的眾多公司已經使用SPDX在政策或工具中傳達軟件材料清單（SBOM）信息，以確保在全球軟件供應鏈中實現合規和安全開發。

Linux基金會執行董事Jim Zemlin表示：“在如何在整個供應鏈中創建、分發和消費軟件方面，SPDX對于建立更多的信任和透明度發揮著重要作用。從事實上的行業標準過渡到正式的ISO/IEC JTC 1標準，讓SPDX得以在全球范圍內顯著提升采用率。SPDX現在完全能夠支持整個供應鏈中對軟件安全性和完整性的國際要求。”

一款現代應用程序的百分之八十至九十（80%-90%）均來自開源軟件組件的組合。SBOM表示出應用程序中包含的軟件組件（開源、專有或第三方），并詳細說明其來源、許可和安全屬性。SBOM被用作跨軟件供應鏈跟蹤和追蹤組件的基本慣例做法的一部分。SBOM還有助于主動識別軟件問題和風險，并為其補救建立一個起點。

SPDX是包括領先的軟件組件分析（CAS）供應商在內的各行業代表機構十年合作的結果，這使其成為最強大、最成熟且最為廣泛采用的SBOM標準。

“隨著過去十年軟件供應鏈中出現新的用例，SPDX社區已展示出發展和擴展標準以滿足最新要求的能力。這真正體現了有利于所有行業的協作的力量，”SPDX技術團隊聯合負責人Kate Stewart表示， “SPDX將繼續通過開放社區的投入實現發展，我們邀請包括提出新用例的有關方面在內的所有各方參與SPDX的發展，確保軟件供應鏈的安全。”

有關如何參與SPDX并從中受益的更多信息，請訪問：https://spdx.dev。

要了解有關各公司和開源項目如何使用SPDX的更多信息，請觀看8月18日舉行的“為軟件供應鏈構建網絡安全”全體大會的錄像，網址為：https://events.linuxfoundation.org/supply-chain-town-hall/

ISO/IEC JTC 1是一個獨立的非政府國際組織，總部設在瑞士日內瓦。其成員包括超過165個國家標準機構，這些機構的專家分享知識并制定支持創新和解決全球挑戰的自愿性、基于共識且具備市場相關性的國際標準。

支持評論 

英特爾
“軟件安全和信任對我們行業的成功至關重要。英特爾是SPDX規范開發的早期參與者，并將SPDX用于內部和外部的眾多軟件用例，”英特爾軟件和先進技術集團副總裁兼戰略執行總經理Melissa Evers表示。

微軟
“微軟已選擇采用SPDX作為我們所生產軟件的SBOM格式，”微軟軟件供應鏈安全首席產品經理Adrian Diglio表示， “SPDX SBOM使得生產符合美國總統行政命令的SBOM變得更容易，SPDX在下一代模式設計方面所采取的方向將有助于進一步提高軟件供應鏈的安全性。”

西門子
“ISO/IEC 5962:2021讓我們擁有了第一個軟件包元數據官方標準。SPDX十年來一直是事實采用的標準，成為官方標準則是水到渠成。這將使供應鏈中的許可合規變得更加輕松，特別是因為FOSSology、ORT、scancode和sw360等多種開源工具已經支持SPDX，”西門子開源高級經理Oliver Fendt表示。

索尼
“索尼團隊使用多種方法來管理開源合規性和治理，”索尼集團公司高級副總裁、研發中心副總裁、軟件戰略委員會代表玉井久視表示， “一個例子是使用基于SPDX Lite的OSS管理模板，這是SPDX標準的一個緊子集。各團隊必須能夠快速審查軟件的類型、版本和要求，而使用明確標準是這一流程中的關鍵一環。”

新思科技
“新思科技的Black Duck團隊從一開始就參與SPDX項目，我本人有幸在十多年的時間里負責協調該項目的領導工作。來自數十家公司的代表為制定描述和傳達軟件包內容的標準方法這項重要工作做出了貢獻，”Black Duck Audits總經理Phil Odence表示。

VMware
“SPDX是Automating Compliance Tooling所涵蓋的各種工具之間至關重要的共同聯系。通過SPDX，以不同語言針對不同軟件目標編寫的工具可圍繞SBOM生產和消費實現一致性和互操作性。此外，SPDX不僅是針對合規性，其定義明確且不斷發展的規范也能夠體現安全性和供應鏈影響。這對于不斷增長的SBOM工具社區非常重要，因為這些工具的目標是詳盡體現出現代軟件的復雜性，”VMware的ACT TAC主席兼開源工程師Rose Judge表示。

Wind River
“SPDX格式大幅促進了整個供應鏈中軟件組件數據的共享。過去8年來，Wind River一直在使用SPDX格式向客戶提供軟件物料清單（SBOM）。客戶通常會請求定制格式的SBOM數據。SPDX的標準化使我們能夠以更低的成本提供更高質量的SBOM，”Wind River開源計劃辦公室主任兼OpenChain規范主席Mark Gisi表示。

關于SPDX
SPDX是用于溝通包括來源、許可、安全性和其他相關信息在內的軟件物料清單信息的開放標準。SPDX通過為組織和社區提供共享重要數據的共同格式來減少冗余工作，從而簡化和改善合規性、安全性和可靠性。如需更多信息，請訪問我們的網站：spdx.org。

Linux基金會擁有注冊商標并使用商標。有關Linux基金會的商標列表，請參閱我們的商標使用頁面： https://www.linuxfoundation.org/trademark-usage。Linux是Linus Torvalds的注冊商標。 

媒體聯系人
Jennifer Cloer
（Linux Foundation）
503-867-2304
jennifer@storychangesculture.com

• http://www.linuxfoundation.org