Linux 基金會(The Linux Foundation)近日 宣布， 軟件包數據交換(SPDX，Software Package Data Exchange)已經成為一項國際標準，將以 ISO/IEC 5962:2021 的形式發布，并被公認為軟件供應鏈工件的開放標準，其中包括許可證合規性和安全性。

[[423258]]

SPDX 是一種文件格式，用于記錄有關分發給定計算機軟件的軟件許可證的信息。SPDX 是由 SPDX 工作組編寫的，該工作組代表了 20 多個不同的組織，由 Linux 基金會所支持。

Linux 基金會的執行董事 Jim Zemlin 表示：

• SPDX 在整個供應鏈的軟件創建、分發和使用過程中在建立更多信任和透明度方面發揮著重要作用。從一個事實上的行業標準過渡到一個正式的 ISO/IEC JTC 1 標準，使 SPDX 在全球范圍內的應用大大增加。SPDX 現在完全有能力支撐起整個供應鏈對軟件安全性和完整性的國際要求。

為了在整個全球軟件供應鏈中實現安全和合規的開發，VMware、Synopsys、德州儀器、索尼、飛利浦、微軟和英特爾等公司都采用了 SPDX 在工具或政策中傳遞軟件材料清單(SBOM)信息。SBOM 被用作基本系統的一部分，用于追蹤整個軟件供應鏈中的組件。它們還被用來幫助識別軟件組件問題和風險，并確定補救的起點。

英特爾的副總裁 Melissa Evers 表示：

• 軟件安全和信任對我們行業的成功至關重要。英特爾很早就參與了 SPDX 規范的制定中，并在內部和外部的軟件使用案例中使用了 SPDX。

隨著無數企業/組織因有針對性的軟件供應鏈攻擊(如前段時間發生的 SolarWinds 供應鏈攻擊)而陷入困境，SPDX 預計將滿足美國的網絡安全行政命令以及歐盟、亞洲/太平洋、中東和非洲對追蹤開源軟件組件的要求。

本文轉自OSCHINA

本文標題：SPDX 正式成為國際標準，以解決供應鏈安全問題

本文地址：https://www.oschina.net/news/159733/spdx-becomes-isoiec-jtc-1-standard