SPDX se convierte en un estándar reconocido internacionalmente

En uso durante una década como el estándar de facto para comunicar listas de materiales de software, SPDX se convierte formalmente en el estándar ISO / IEC JTC 1 reconocido internacionalmente.

Imagen: Kheng Guan Toh / Shutterstock

La Fundación Linux anunció el jueves que la especificación Software Package Data Exchange (SPDX) ha sido publicada como ISO / IEC 5962: 2021 y reconocida como el estándar abierto para seguridad, cumplimiento de licencias y otros artefactos de la cadena de suministro de software.

Las listas de materiales de software se utilizan para comunicar información en políticas o herramientas para garantizar un desarrollo seguro y compatible en las cadenas de suministro de software globales.

“SPDX juega un papel importante en la construcción de más confianza y transparencia en cómo se crea, distribuye y consume el software en las cadenas de suministro”, dijo Jim Zemlin, director ejecutivo de la Fundación Linux, en un comunicado de prensa. “La transición de un estándar industrial de facto a un estándar formal ISO / IEC JTC 1 posiciona a SPDX para una adopción drásticamente mayor en el ámbito global. SPDX ahora está perfectamente posicionado para soportar los requisitos internacionales de seguridad e integridad del software en toda la cadena de suministro”.

VER: 5 distribuciones de servidor Linux que debería usar (TechRepublic Premium)

ISO / IEC JTC 1 es una organización internacional no gubernamental independiente con sede en Ginebra, Suiza.

Debido a que la mayoría de las aplicaciones de hoy en día se ensamblan utilizando software de código abierto, un SBOM tiene en cuenta los componentes de software contenidos en una aplicación y detalla su procedencia, licencia y atributos de seguridad. Esta contabilidad ayuda a las organizaciones a rastrear y rastrear componentes a lo largo de la cadena de suministro de software para que puedan identificar problemas, riesgos y establecer puntos de partida para su reparación si es necesario.

La transparencia proporcionada por un SBOM es particularmente útil para frustrar los ataques cibernéticos, dijo Kate Stewart, vicepresidenta de sistemas integrados confiables en la Fundación Linux.

“Un SBOM hace que sea más fácil resumir el software que realmente se está ejecutando en un sistema”, dijo. “Mejorar la transparencia del software que se ejecuta en un sistema, permite la detección automática si hay una vulnerabilidad y referencias cruzadas a las bases de datos de vulnerabilidades según sea necesario”.

SPDX evolucionó orgánicamente durante los últimos 10 años a través de la colaboración de cientos de empresas, lo que lo convierte en el estándar SBOM más maduro y adoptado, dijo la Fundación Linux.

VER: Rust: lo que los desarrolladores deben saber sobre este lenguaje de programación (PDF gratuito) (TechRepublic)

El nuevo estándar también facilitará el cumplimiento de las licencias de la cadena de suministro, porque las herramientas de código abierto como FOSSology, ORT, scancode y sw360 ya son compatibles con SPDX, dijo Oliver Fendt, gerente senior de código abierto de Siemens, en un comunicado.

“SPDX es el hilo común esencial entre las herramientas bajo el paraguas de herramientas de cumplimiento automatizado (ACT). SPDX permite que las herramientas escritas en diferentes idiomas y para diferentes objetivos de software logren coherencia e interoperabilidad en la producción y el consumo de SBOM. SPDX no es solo para cumplimiento, tampoco ; la especificación bien definida y en constante evolución también puede representar las implicaciones de la cadena de suministro y la seguridad. Esto es increíblemente importante para la creciente comunidad de herramientas SBOM, ya que tienen como objetivo representar a fondo las complejidades del software moderno “, dijo Rose Judge, ACT Presidente de TAC e ingeniero de código abierto en VMware, en un comunicado.

Puede encontrar información sobre cómo participar y beneficiarse de SPDX en https://spdx.dev. Puede encontrar más información sobre cómo las empresas y los proyectos de código abierto utilizan SPDX en https://events.linuxfoundation.org/supply-chain-town-hall/.

Ver también

Leave a Comment