您现在的位置是:首页 > Javascript
当前栏目
SPDX 正式成为国际标准,以解决供应链安全问题
2023-03-15 22:43:30 时间
Linux 基金会(The Linux Foundation)近日 宣布, 软件包数据交换(SPDX,Software Package Data Exchange)已经成为一项国际标准,将以 ISO/IEC 5962:2021 的形式发布,并被公认为软件供应链工件的开放标准,其中包括许可证合规性和安全性。
SPDX 是一种文件格式,用于记录有关分发给定计算机软件的软件许可证的信息。SPDX 是由 SPDX 工作组编写的,该工作组代表了 20 多个不同的组织,由 Linux 基金会所支持。
Linux 基金会的执行董事 Jim Zemlin 表示:
- SPDX 在整个供应链的软件创建、分发和使用过程中在建立更多信任和透明度方面发挥着重要作用。从一个事实上的行业标准过渡到一个正式的 ISO/IEC JTC 1 标准,使 SPDX 在全球范围内的应用大大增加。SPDX 现在完全有能力支撑起整个供应链对软件安全性和完整性的国际要求。
为了在整个全球软件供应链中实现安全和合规的开发,VMware、Synopsys、德州仪器、索尼、飞利浦、微软和英特尔等公司都采用了 SPDX 在工具或政策中传递软件材料清单(SBOM)信息。SBOM 被用作基本系统的一部分,用于追踪整个软件供应链中的组件。它们还被用来帮助识别软件组件问题和风险,并确定补救的起点。
英特尔的副总裁 Melissa Evers 表示:
- 软件安全和信任对我们行业的成功至关重要。英特尔很早就参与了 SPDX 规范的制定中,并在内部和外部的软件使用案例中使用了 SPDX。
随着无数企业/组织因有针对性的软件供应链攻击(如前段时间发生的 SolarWinds 供应链攻击)而陷入困境,SPDX 预计将满足美国的网络安全行政命令以及欧盟、亚洲/太平洋、中东和非洲对追踪开源软件组件的要求。
本文转自OSCHINA
本文标题:SPDX 正式成为国际标准,以解决供应链安全问题
本文地址:https://www.oschina.net/news/159733/spdx-becomes-isoiec-jtc-1-standard
相关文章
- javascript事件模型框架
- javascript之DOM技术(二)
- 大数据浪潮下,前端工程师眼中的完整数据链图
- 物联网设备安全1.2 使用网站接口控制照明
- jQuery使用手册(收藏)
- HTML5的你应该记住的一些知识点
- JavaScript原型链和instanceof运算符的暧昧关系
- JavaScript中getter/setter的实现
- 看了《前端,我为什么不要你》有感
- 十个JavaScript中易犯的小错误,你中了几枪?
- JavaScript客户端检测技术详细解析
- 用C#开发ActiveX控件,并使用web调用
- 写给初学前端工程师的一封信
- 纠正前端开发中容易出错知识点
- 很有意思,如何把代码看成一个犯罪现场
- 前端开发者需要的10个Sublime插件
- 2015年2月编程语言排行榜:JavaScript排名达到历史最高
- 2015年1月编程语言排行榜:JavaScript摘得年度桂冠
- JS与设计模式之------策略模式Strategy
- 如何优雅的讨好程序员?