（全球TMT2021年9月11日訊）Linux基金會(huì)、聯(lián)合開(kāi)發(fā)基金會(huì)（Joint Development Foundation）和SPDX社區(qū)宣布，Software Package Data Exchange?（SPDX?）規(guī)范作為ISO/IEC 5962:2021發(fā)布，被認(rèn)定為安全性、許可合規(guī)和其他軟件供應(yīng)鏈構(gòu)件領(lǐng)域的國(guó)際開(kāi)放標(biāo)準(zhǔn)。ISO/IEC JTC 1是一個(gè)獨(dú)立的非政府標(biāo)準(zhǔn)機(jī)構(gòu)。

包括英特爾、微軟、西門(mén)子、索尼、新思科技、VMware和WindRiver在內(nèi)的眾多公司已經(jīng)使用SPDX在政策或工具中傳達(dá)軟件材料清單（SBOM）信息，以確保在全球軟件供應(yīng)鏈中實(shí)現(xiàn)合規(guī)和安全開(kāi)發(fā)。

Linux基金會(huì)執(zhí)行董事Jim Zemlin表示：“在如何在整個(gè)供應(yīng)鏈中創(chuàng)建、分發(fā)和消費(fèi)軟件方面，SPDX對(duì)于建立更多的信任和透明度發(fā)揮著重要作用。從事實(shí)上的行業(yè)標(biāo)準(zhǔn)過(guò)渡到正式的ISO/IEC JTC 1標(biāo)準(zhǔn)，讓SPDX得以在全球范圍內(nèi)顯著提升采用率。SPDX現(xiàn)在完全能夠支持整個(gè)供應(yīng)鏈中對(duì)軟件安全性和完整性的國(guó)際要求。”

一款現(xiàn)代應(yīng)用程序的百分之八十至九十（80%-90%）均來(lái)自開(kāi)源軟件組件的組合。SBOM表示出應(yīng)用程序中包含的軟件組件（開(kāi)源、專(zhuān)有或第三方），并詳細(xì)說(shuō)明其來(lái)源、許可和安全屬性。SBOM被用作跨軟件供應(yīng)鏈跟蹤和追蹤組件的基本慣例做法的一部分。SBOM還有助于主動(dòng)識(shí)別軟件問(wèn)題和風(fēng)險(xiǎn)，并為其補(bǔ)救建立一個(gè)起點(diǎn)。

SPDX是包括領(lǐng)先的軟件組件分析（CAS）供應(yīng)商在內(nèi)的各行業(yè)代表機(jī)構(gòu)十年合作的結(jié)果，這使其成為最強(qiáng)大、最成熟且最為廣泛采用的SBOM標(biāo)準(zhǔn)。