Fr. Mrz 29th, 2024

San Francisco (ots/PRNewswire) –

SPDX, das von vielen der weltweit größten Unternehmen seit mehr als einem Jahrzehnt unterstützt wird, wird offiziell zum international anerkannten ISO/IEC JTC 1-Standard – und das in einer Zeit, in der sich die Sicherheit von Software und Lieferketten grundlegend verändert

Die Linux Foundation, die Joint Development Foundation und die SPDX-Community haben heute bekannt gegeben, dass die Software Package Data Exchange® (SPDX®)-Spezifikation als ISO/IEC 5962:2021 veröffentlicht und als internationaler offener Standard für Sicherheit, Lizenzkonformität und andere Artefakte der Software-Lieferkette anerkannt wurde. ISO/IEC JTC 1 ist ein unabhängiges, nichtstaatliches Normungsgremium.

Intel, Microsoft, Siemens, Sony, Synopsys, VMware und WindRiver sind nur eine kleine Auswahl der Unternehmen, die SPDX bereits nutzen, um Software-Bill-of-Materials-Informationen (SBOM) in Richtlinien oder Tools zu kommunizieren und so eine konforme, sichere Entwicklung in globalen Software-Lieferketten zu gewährleisten.

“SPDX spielt eine wichtige Rolle beim Aufbau von mehr Vertrauen und Transparenz bei der Erstellung, Verteilung und Nutzung von Software in den Lieferketten. Der Übergang von einem de-facto-Industriestandard zu einem formalen ISO/IEC JTC 1-Standard positioniert SPDX für eine drastisch erhöhte Akzeptanz auf der internationalen Bühne”, sagte Jim Zemlin, Executive Director der Linux Foundation. “SPDX ist nun perfekt positioniert, um die internationalen Anforderungen an die Sicherheit und Integrität von Software in der gesamten Lieferkette zu erfüllen.”

Zwischen achtzig und neunzig Prozent (80-90 %) einer modernen Anwendung wird aus Open-Source-Software-Komponenten zusammengesetzt. Eine SBOM erfasst die in einer Anwendung enthaltenen Softwarekomponenten – Open Source, proprietär oder von Dritten – und beschreibt deren Herkunft, Lizenz und Sicherheitsattribute. SBOMs werden als Teil der bewährten Verfahren verwendet, um Komponenten über Software-Lieferketten hinweg zu erfassen und nachzuverfolgen. SBOMs helfen auch dabei, Softwareprobleme und -risiken proaktiv zu erkennen und einen Ausgangspunkt für deren Behebung zu schaffen.

SPDX ist das Ergebnis einer zehnjährigen Zusammenarbeit von Vertretern verschiedener Branchen, einschließlich der führenden Anbieter von Softwarezusammensetzungsanalysen (Software Composition Analysis, SCA) – und ist damit der solideste, ausgereifteste und am häufigsten verwendete SBOM-Standard.

In den letzten zehn Jahren haben sich neue Anwendungsfälle in der Software-Lieferkette herausgebildet und die SPDX-Community hat ihre Fähigkeit bewiesen, den Standard zu entwickeln und zu erweitern, um den neuesten Anforderungen gerecht zu werden. Dies zeigt die Stärke der Zusammenarbeit bei Projekten, die allen Branchen zugutekommen”, so Kate Stewart, Co-Leiterin des SPDX-Technologieteams. “Wir laden alle ein, sich an der Weiterentwicklung von SPDX zu beteiligen und die Software-Lieferkette zu sichern, auch diejenigen, die neue Anwendungsfälle haben.”

Für weitere Informationen, wie Sie an SPDX teilnehmen und davon profitieren können, besuchen Sie bitte: https://spdx.dev.

Um mehr darüber zu erfahren, wie Unternehmen und Open-Source-Projekte SPDX nutzen, sind Aufzeichnungen der Town Hall “Building Cybersecurity into the Software Supply Chain”, die am 18. August stattfand, unter folgender Adresse verfügbar: https://events.linuxfoundation.org/supply-chain-town-hall/

ISO/IEC JTC 1 ist eine unabhängige, nichtstaatliche internationale Organisation mit Sitz in Genf, Schweiz. Zu ihren Mitgliedern gehören mehr als 165 nationale Normungsgremien mit Experten, die ihr Wissen teilen und freiwillige, konsensbasierte, marktrelevante internationale Normen entwickeln, die Innovationen unterstützen und Lösungen für globale Problematiken bieten.

Pressemitteilung teilen:
Laura Jahn

Von Laura

Schreibe einen Kommentar