SPDX, das von vielen der weltweit größten Unternehmen seit mehr als einem Jahrzehnt unterstützt wird, wird offiziell zum international anerkannten ISO/IEC JTC 1-Standard – und das in einer Zeit, in der sich die Sicherheit von Software und Lieferketten grundlegend verändert
Die Linux Foundation, die Joint Development Foundation und die SPDX-Community haben bekannt gegeben, dass die Software Package Data Exchange® (SPDX®)-Spezifikation als ISO/IEC 5962:2021 veröffentlicht und als internationaler offener Standard für Sicherheit, Lizenzkonformität und andere Artefakte der Software-Lieferkette anerkannt wurde. ISO/IEC JTC 1 ist ein unabhängiges, nichtstaatliches Normungsgremium.
Intel, Microsoft, Siemens, Sony, Synopsys, VMware und WindRiver sind nur eine kleine Auswahl der Unternehmen, die SPDX bereits nutzen, um Software-Bill-of-Materials-Informationen (SBOM) in Richtlinien oder Tools zu kommunizieren und so eine konforme, sichere Entwicklung in globalen Software-Lieferketten zu gewährleisten.
„SPDX spielt eine wichtige Rolle beim Aufbau von mehr Vertrauen und Transparenz bei der Erstellung, Verteilung und Nutzung von Software in den Lieferketten. Der Übergang von einem de-facto-Industriestandard zu einem formalen ISO/IEC JTC 1-Standard positioniert SPDX für eine drastisch erhöhte Akzeptanz auf der internationalen Bühne“, sagte Jim Zemlin, Executive Director der Linux Foundation. „SPDX ist nun perfekt positioniert, um die internationalen Anforderungen an die Sicherheit und Integrität von Software in der gesamten Lieferkette zu erfüllen.“
Zwischen achtzig und neunzig Prozent (80-90 %) einer modernen Anwendung wird aus Open-Source-Software-Komponenten zusammengesetzt. Eine SBOM erfasst die in einer Anwendung enthaltenen Softwarekomponenten – Open Source, proprietär oder von Dritten – und beschreibt deren Herkunft, Lizenz und Sicherheitsattribute. SBOMs werden als Teil der bewährten Verfahren verwendet, um Komponenten über Software-Lieferketten hinweg zu erfassen und nachzuverfolgen. SBOMs helfen auch dabei, Softwareprobleme und -risiken proaktiv zu erkennen und einen Ausgangspunkt für deren Behebung zu schaffen.
SPDX ist das Ergebnis einer zehnjährigen Zusammenarbeit von Vertretern verschiedener Branchen, einschließlich der führenden Anbieter von Softwarezusammensetzungsanalysen (Software Composition Analysis, SCA) – und ist damit der solideste, ausgereifteste und am häufigsten verwendete SBOM-Standard.
In den letzten zehn Jahren haben sich neue Anwendungsfälle in der Software-Lieferkette herausgebildet und die SPDX-Community hat ihre Fähigkeit bewiesen, den Standard zu entwickeln und zu erweitern, um den neuesten Anforderungen gerecht zu werden. Dies zeigt die Stärke der Zusammenarbeit bei Projekten, die allen Branchen zugutekommen“, so Kate Stewart, Co-Leiterin des SPDX-Technologieteams. „Wir laden alle ein, sich an der Weiterentwicklung von SPDX zu beteiligen und die Software-Lieferkette zu sichern, auch diejenigen, die neue Anwendungsfälle haben.“
Weitere Informationen, wie Sie an SPDX teilnehmen und davon profitieren können, finden Sie auf: https://spdx.dev.
ISO/IEC JTC 1 ist eine unabhängige, nichtstaatliche internationale Organisation mit Sitz in Genf, Schweiz. Zu ihren Mitgliedern gehören mehr als 165 nationale Normungsgremien mit Experten, die ihr Wissen teilen und freiwillige, konsensbasierte, marktrelevante internationale Normen entwickeln, die Innovationen unterstützen und Lösungen für globale Problematiken bieten.
Positive Kommentare
Intel
„Softwaresicherheit und Vertrauen sind entscheidend für den Erfolg unserer Branche. Intel hat sich schon früh an der Entwicklung der SPDX-Spezifikation beteiligt und nutzt SPDX sowohl intern als auch extern für eine Reihe von Softwareanwendungen“, sagte Melissa Evers, Vice President – Software and Advanced Technology Group, General Manager of Strategy to Execution, Intel.
Microsoft
„Microsoft hat SPDX als bevorzugtes SBOM-Format für die von uns produzierte Software eingeführt“, sagt Adrian Diglio, Principal Program Manager of Software Supply Chain Security bei Microsoft. „SPDX-SBOMs erleichtern die Erstellung von SBOMs, die mit der U.S. Presidential Executive Order konform sind, und die Richtung, die SPDX mit dem Design seines Next-Gen-Schemas einschlägt, wird dazu beitragen, die Sicherheit der Software-Lieferkette weiter zu verbessern.“
Siemens
„Mit ISO/IEC 5962:2021 haben wir den ersten offiziellen Standard für Metadaten von Softwarepaketen. Es ist nur natürlich, dass SPDX als dieser Standard bestimmt wurde, da es de facto bereits seit einem Jahrzehnt der Standard ist. Dies wird die Einhaltung von Lizenzbestimmungen in der Lieferkette erheblich vereinfachen, insbesondere weil mehrere Open-Source-Tools wie FOSSology, ORT, scancode und sw360 SPDX bereits unterstützen“, sagte Oliver Fendt, Senior Manager Open Source bei Siemens.
Sony
„Das Sony-Team verwendet verschiedene Ansätze zur Verwaltung von Open-Source-Compliance und Governance“, sagt Hisashi Tamai, Senior Vice President, Deputy President of R&D Center, Vertreter des Software Strategy Committee, Sony Group Corporation. „Ein Beispiel ist die Verwendung einer OSS-Verwaltungsvorlage, die auf SPDX Lite basiert, einer kompakten Untergruppe des SPDX-Standards. Es ist wichtig, dass die Teams in der Lage sind, Typ, Version und Anforderungen der Software schnell zu überprüfen, und die Verwendung eines klaren Standards ist ein wichtiger Teil dieses Prozesses.“
Synopsys
„Das Black-Duck-Team von Synopsys war seit der Entstehung an SPDX beteiligt, und ich persönlich hatte das Vergnügen, die Aktivitäten der Projektleitung mehr als ein Jahrzehnt lang zu koordinieren. Vertreter zahlreicher Unternehmen haben zu der wichtigen Arbeit beigetragen, einen Standard für die Beschreibung und Kommunikation des Inhalts eines Softwarepakets zu entwickeln“, so Phil Odence, General Manager, Black Duck Audits.
VMware
„SPDX ist die wesentliche Gemeinsamkeit zwischen den Tools unter dem Dach von Automating Compliance Tooling (ACT). SPDX ermöglicht es Tools, die in unterschiedlichen Sprachen und für unterschiedliche Softwareziele geschrieben wurden, Kohärenz und Interoperabilität bei der SBOM-Erstellung und -Nutzung zu erreichen. SPDX ist nicht nur für die Einhaltung von Vorschriften gedacht; die gut definierte und sich ständig weiterentwickelnde Spezifikation ist auch in der Lage, Auswirkungen auf die Sicherheit und Lieferkette darzustellen. Dies ist unglaublich wichtig für die wachsende Gemeinschaft der SBOM-Tools, da sie darauf abzielen, die Feinheiten moderner Software gründlich abzubilden“, so Rose Judge, ACT TAC Chair und Open Source Engineer bei VMware.
Wind River
„Das SPDX-Format erleichtert den Austausch von Softwarekomponenten-Daten innerhalb der Lieferkette erheblich. Wind River stellt seinen Kunden seit 8 Jahren eine Software Bill of Materials (SBOM) im SPDX-Format zur Verfügung. Häufig fordern Kunden SBOM-Daten in einem benutzerdefinierten Format an. Die Standardisierung auf SPDX hat es uns ermöglicht, eine hochwertigere SBOM zu geringeren Kosten zu liefern“, sagt Mark Gisi, Wind River Open Source Program Office Director und OpenChain Specification Chair.
Informationen zu SPDX
SPDX ist ein offener Standard für die Übermittlung von Informationen über Software-Stücklisten, einschließlich Informationen zu Herkunft, Lizenz, Sicherheit und anderer verwandter Informationen. SPDX reduziert Doppelarbeit durch die Bereitstellung gemeinsamer Formate für Organisationen und Gemeinschaften zum Austausch wichtiger Daten, wodurch die Einhaltung von Vorschriften, die Sicherheit und die Zuverlässigkeit verbessert werden. Weitere Informationen finden Sie unter spdx.org.
Hinterlasse einen Kommentar