SPDX wird international anerkannter Standard für Software-Stücklisten
ID: 1925718
SPDX, das von vielen der weltweit größten Unternehmen seit mehr als einem Jahrzehnt unterstützt wird, wird offiziell zum international anerkannten ISO/IEC JTC 1-Standard - und das in einer Zeit, in der sich die Sicherheit von Software und Lieferketten grundlegend verändert
Die Linux Foundation, die Joint Development Foundation und die SPDX-Community haben heute bekannt gegeben, dass die Software Package Data Exchange® (SPDX®)-Spezifikation als ISO/IEC 5962:2021 (https://c212.net/c/link/?t=0&l=de&o=3283684-1&h=4096035026&u=https%3A%2F%2Fc212.net%2Fc%2Flink%2F%3Ft%3D0%26l%3Den%26o%3D3283684-1%26h%3D1120003021%26u%3Dhttps%253A%252F%252Fwww.iso.org%252Fstandard%252F81870.html%26a%3DISO%252FIEC%2B5962%253A2021&a=ISO%2FIEC+5962%3A2021) veröffentlicht und als internationaler offener Standard für Sicherheit, Lizenzkonformität und andere Artefakte der Software-Lieferkette anerkannt wurde. ISO/IEC JTC 1 ist ein unabhängiges, nichtstaatliches Normungsgremium.
Intel, Microsoft, Siemens, Sony, Synopsys, VMware und WindRiver sind nur eine kleine Auswahl der Unternehmen, die SPDX bereits nutzen, um Software-Bill-of-Materials-Informationen (SBOM) in Richtlinien oder Tools zu kommunizieren und so eine konforme, sichere Entwicklung in globalen Software-Lieferketten zu gewährleisten.
"SPDX spielt eine wichtige Rolle beim Aufbau von mehr Vertrauen und Transparenz bei der Erstellung, Verteilung und Nutzung von Software in den Lieferketten. Der Übergang von einem de-facto-Industriestandard zu einem formalen ISO/IEC JTC 1-Standard positioniert SPDX für eine drastisch erhöhte Akzeptanz auf der internationalen Bühne", sagte Jim Zemlin, Executive Director der Linux Foundation. "SPDX ist nun perfekt positioniert, um die internationalen Anforderungen an die Sicherheit und Integrität von Software in der gesamten Lieferkette zu erfüllen."
Zwischen achtzig und neunzig Prozent (80-90 %) einer modernen Anwendung wird aus Open-Source-Software-Komponenten zusammengesetzt. Eine SBOM erfasst die in einer Anwendung enthaltenen Softwarekomponenten - Open Source, proprietär oder von Dritten - und beschreibt deren Herkunft, Lizenz und Sicherheitsattribute. SBOMs werden als Teil der bewährten Verfahren verwendet, um Komponenten über Software-Lieferketten hinweg zu erfassen und nachzuverfolgen. SBOMs helfen auch dabei, Softwareprobleme und -risiken proaktiv zu erkennen und einen Ausgangspunkt für deren Behebung zu schaffen.
SPDX ist das Ergebnis einer zehnjährigen Zusammenarbeit von Vertretern verschiedener Branchen, einschließlich der führenden Anbieter von Softwarezusammensetzungsanalysen (Software Composition Analysis, SCA) - und ist damit der solideste, ausgereifteste und am häufigsten verwendete SBOM-Standard.
In den letzten zehn Jahren haben sich neue Anwendungsfälle in der Software-Lieferkette herausgebildet und die SPDX-Community hat ihre Fähigkeit bewiesen, den Standard zu entwickeln und zu erweitern, um den neuesten Anforderungen gerecht zu werden. Dies zeigt die Stärke der Zusammenarbeit bei Projekten, die allen Branchen zugutekommen", so Kate Stewart, Co-Leiterin des SPDX-Technologieteams. "Wir laden alle ein, sich an der Weiterentwicklung von SPDX zu beteiligen und die Software-Lieferkette zu sichern, auch diejenigen, die neue Anwendungsfälle haben."
Für weitere Informationen, wie Sie an SPDX teilnehmen und davon profitieren können, besuchen Sie bitte: https://spdx.dev (https://c212.net/c/link/?t=0&l=de&o=3283684-1&h=3088211172&u=https%3A%2F%2Fc212.net%2Fc%2Flink%2F%3Ft%3D0%26l%3Den%26o%3D3283684-1%26h%3D1832069882%26u%3Dhttps%253A%252F%252Fspdx.dev%252F%26a%3Dhttps%253A%252F%252Fspdx.dev&a=https%3A%2F%2Fspdx.dev).
Um mehr darüber zu erfahren, wie Unternehmen und Open-Source-Projekte SPDX nutzen, sind Aufzeichnungen der Town Hall "Building Cybersecurity into the Software Supply Chain", die am 18. August stattfand, unter folgender Adresse verfügbar: https://events.linuxfoundation.org/supply-chain-town-hall/ (https://c212.net/c/link/?t=0&l=de&o=3283684-1&h=3049096448&u=https%3A%2F%2Fc212.net%2Fc%2Flink%2F%3Ft%3D0%26l%3Den%26o%3D3283684-1%26h%3D1504334352%26u%3Dhttps%253A%252F%252Fevents.linuxfoundation.org%252Fsupply-chain-town-hall%252F%26a%3Dhttps%253A%252F%252Fevents.linuxfoundation.org%252Fsupply-chain-town-hall%252F&a=https%3A%2F%2Fevents.linuxfoundation.org%2Fsupply-chain-town-hall%2F)
ISO/IEC JTC 1 ist eine unabhängige, nichtstaatliche internationale Organisation mit Sitz in Genf, Schweiz. Zu ihren Mitgliedern gehören mehr als 165 nationale Normungsgremien mit Experten, die ihr Wissen teilen und freiwillige, konsensbasierte, marktrelevante internationale Normen entwickeln, die Innovationen unterstützen und Lösungen für globale Problematiken bieten.
Positive Kommentare
Intel
"Softwaresicherheit und Vertrauen sind entscheidend für den Erfolg unserer Branche. Intel hat sich schon früh an der Entwicklung der SPDX-Spezifikation beteiligt und nutzt SPDX sowohl intern als auch extern für eine Reihe von Softwareanwendungen", sagte Melissa Evers, Vice President - Software and Advanced Technology Group, General Manager of Strategy to Execution, Intel.
Microsoft
"Microsoft hat SPDX als bevorzugtes SBOM-Format für die von uns produzierte Software eingeführt", sagt Adrian Diglio, Principal Program Manager of Software Supply Chain Security bei Microsoft. "SPDX-SBOMs erleichtern die Erstellung von SBOMs, die mit der U.S. Presidential Executive Order konform sind, und die Richtung, die SPDX mit dem Design seines Next-Gen-Schemas einschlägt, wird dazu beitragen, die Sicherheit der Software-Lieferkette weiter zu verbessern."
Siemens
"Mit ISO/IEC 5962:2021 haben wir den ersten offiziellen Standard für Metadaten von Softwarepaketen. Es ist nur natürlich, dass SPDX als dieser Standard bestimmt wurde, da es de facto bereits seit einem Jahrzehnt der Standard ist. Dies wird die Einhaltung von Lizenzbestimmungen in der Lieferkette erheblich vereinfachen, insbesondere weil mehrere Open-Source-Tools wie FOSSology, ORT, scancode und sw360 SPDX bereits unterstützen", sagte Oliver Fendt, Senior Manager Open Source bei Siemens.
Sony
"Das Sony-Team verwendet verschiedene Ansätze zur Verwaltung von Open-Source-Compliance und Governance", sagt Hisashi Tamai, Senior Vice President, Deputy President of R&D Center, Vertreter des Software Strategy Committee, Sony Group Corporation. "Ein Beispiel ist die Verwendung einer OSS-Verwaltungsvorlage, die auf SPDX Lite basiert, einer kompakten Untergruppe des SPDX-Standards. Es ist wichtig, dass die Teams in der Lage sind, Typ, Version und Anforderungen der Software schnell zu überprüfen, und die Verwendung eines klaren Standards ist ein wichtiger Teil dieses Prozesses."
Synopsys
"Das Black-Duck-Team von Synopsys war seit der Entstehung an SPDX beteiligt, und ich persönlich hatte das Vergnügen, die Aktivitäten der Projektleitung mehr als ein Jahrzehnt lang zu koordinieren. Vertreter zahlreicher Unternehmen haben zu der wichtigen Arbeit beigetragen, einen Standard für die Beschreibung und Kommunikation des Inhalts eines Softwarepakets zu entwickeln", so Phil Odence, General Manager, Black Duck Audits.
VMware
"SPDX ist die wesentliche Gemeinsamkeit zwischen den Tools unter dem Dach von Automating Compliance Tooling (ACT). SPDX ermöglicht es Tools, die in unterschiedlichen Sprachen und für unterschiedliche Softwareziele geschrieben wurden, Kohärenz und Interoperabilität bei der SBOM-Erstellung und -Nutzung zu erreichen. SPDX ist nicht nur für die Einhaltung von Vorschriften gedacht; die gut definierte und sich ständig weiterentwickelnde Spezifikation ist auch in der Lage, Auswirkungen auf die Sicherheit und Lieferkette darzustellen. Dies ist unglaublich wichtig für die wachsende Gemeinschaft der SBOM-Tools, da sie darauf abzielen, die Feinheiten moderner Software gründlich abzubilden", so Rose Judge, ACT TAC Chair und Open Source Engineer bei VMware.
Wind River
"Das SPDX-Format erleichtert den Austausch von Softwarekomponenten-Daten innerhalb der Lieferkette erheblich. Wind River stellt seinen Kunden seit 8 Jahren eine Software Bill of Materials (SBOM) im SPDX-Format zur Verfügung. Häufig fordern Kunden SBOM-Daten in einem benutzerdefinierten Format an. Die Standardisierung auf SPDX hat es uns ermöglicht, eine hochwertigere SBOM zu geringeren Kosten zu liefern", sagt Mark Gisi, Wind River Open Source Program Office Director und OpenChain Specification Chair.
Informationen zu SPDX
SPDX ist ein offener Standard für die Übermittlung von Informationen über Software-Stücklisten, einschließlich Informationen zu Herkunft, Lizenz, Sicherheit und anderer verwandter Informationen. SPDX reduziert Doppelarbeit durch die Bereitstellung gemeinsamer Formate für Organisationen und Gemeinschaften zum Austausch wichtiger Daten, wodurch die Einhaltung von Vorschriften, die Sicherheit und die Zuverlässigkeit verbessert werden. Weitere Informationen finden Sie unter spdx.org.
Die Linux Foundation besitzt eingetragene Warenzeichen und verwendet Warenzeichen. Eine Liste der Warenzeichen der Linux Foundation finden Sie auf unserer Seite "Verwendung von Warenzeichen": https://www.linuxfoundation.org/trademark-usage. Linux ist ein eingetragenes Warenzeichen von Linus Torvalds.
Pressekontakt
Jennifer Cloer
für die Linux Foundation
503-867-2304
jennifer@storychangesculture.com
Logo - https://mma.prnewswire.com/media/455385/The_Linux_Foundation_Logo.jpg (https://c212.net/c/link/?t=0&l=de&o=3283684-1&h=1271277116&u=https%3A%2F%2Fc212.net%2Fc%2Flink%2F%3Ft%3D0%26l%3Den%26o%3D3283684-1%26h%3D1104412003%26u%3Dhttps%253A%252F%252Fmma.prnewswire.com%252Fmedia%252F455385%252FThe_Linux_Foundation_Logo.jpg%26a%3Dhttps%253A%252F%252Fmma.prnewswire.com%252Fmedia%252F455385%252FThe_Linux_Foundation_Logo.jpg&a=https%3A%2F%2Fmma.prnewswire.com%2Fmedia%2F455385%2FThe_Linux_Foundation_Logo.jpg)
Original-Content von: The Linux Foundation, übermittelt durch news aktuell
Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Bereitgestellt von Benutzer: ots
Datum: 11.09.2021 - 04:06 Uhr
Sprache: Deutsch
News-ID 1925718
Anzahl Zeichen: 10436
Kontakt-Informationen:
Stadt:
San Francisco
Kategorie:
Softwareindustrie
Diese Pressemitteilung wurde bisher 519 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"SPDX wird international anerkannter Standard für Software-Stücklisten"
steht unter der journalistisch-redaktionellen Verantwortung von
The Linux Foundation (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Neu gegründete Organisation stellt ersten World of Open Source 2022 Europe Spotlight Report vor, der Möglichkeiten für eine stärkere Beteiligung des öffentlichen Sektors und der vertikalen Branchen an Open Source aufzeigt, um Nachhaltigkeit und kollektive Wertschöpfung zu erreichen Die Linu
BNY Mellon schließt sich der Linux Foundation an, um Open-Source-Klimadaten- und Analyselösungen voranzutreiben ...
Heute gab OS-Climate bekannt, dass BNY Mellon sich der schnell wachsenden Gemeinschaft von Fortune-500-Unternehmen und Finanzdienstleistern angeschlossen hat, die gemeinsam eine öffentliche Plattform mit offenen Daten und Open-Source-Entscheidungshilfen aufbauen, um den globalen Übergang zu Net
Die "Core Infrastructure Initiative" (CII) der Linux Foundation ruft zu Anträgen für Projektfinanzierungen auf ...
DUSSELDORF, GERMANY -- (Marketwired) -- 10/13/14 -- -- Die "Core Infrastructure Initiative" (CII) rief heute zur Eingabe neuer Fördervorschläge für Open-Source-Projekte auf, die sich um die Unterstützung seitens ihrer Branche bemühen. Die CII ist ein von der Linux Foundation geförd
Weitere Mitteilungen von The Linux Foundation
Dorothea Christiane Erxleben - Datenschutz, Informationssicherheit und Risikomanagement als Managementaufgabe ...
Hardy Krüger, Datenschutzbeauftragter, Informationssicherheitsbeauftragter und Leiter Dokumentenmanagement berichtet über Herausforderungen und Erfahrungen eines Datenschutz- und Informationssicherheitsmanagementsystems (DIMS) nach B3S mit QSEC Die Harzklinikum Dorothea Christiane Erxleben GmbH is
blue office® erweitert Datenschutz-Funktionen (FOTO) ...
Das Schweizer IT-Unternehmen blue office ag www.blue-office.ch hat eine Erweiterung in ihrer ERP-Software für den Umgang mit Daten innerhalb des Unternehmens entwickelt. Mit Hilfe von möglichst vielen und detaillierten Daten können die Unternehmen das Konsumverhalten ihrer Kunden sehr genau a
Wie Software die Automobilbranche verändert - Fachkonferenz zu Automotive Software Factories ...
Die Automobilbranche befindet sich in einem tiefgreifenden Umbruch: Der Umstieg auf Elektroautos, die rasante Digitalisierung in der gesamten Autoindustrie und die Kontrolle von immer komplexer werdenden IT-Systemen stellen die Branche vor immense Herausforderungen. Softwareentwicklung wird in d
Neues Release: RAD Studio 11– Ein wichtiges Update für alle Entwickler ...
Embarcadero freut sich bekannt zu geben, dass die Versionen 11 von RAD Studio, Delphi und C++Builder verfügbar sind. Die integrierten Entwicklungsumgebungen ermöglicht das einfache Erstellen von Anwendungen für die Plattformen Windows, macOS, Linux, Android und iOS. Die Cross Plattform-Applikatio




