Warning: array_multisort(): Array sizes are inconsistent in /home/u768412851/domains/chinamediablog.com/public_html/wp-content/plugins/related-posts/recommendations.php on line 357
![]() |
SPDXå多年æ¥èŽ·å¾—å…¨çƒä¼—多最大规模公å¸çš„æ”¯æŒï¼Œåœ¨è½¯ä»¶å’Œä¾›åº”链安全的转型时期æ£å¼æˆä¸ºå›½é™…认å¯çš„ISO/IEC JTC 1æ ‡å‡†
旧金山2021å¹´9月11æ—¥ /新闻稿网 - Xinwengao.com/ — Linux基金会ã€è”åˆå¼€å‘基金会(Joint Development Foundation)和SPDX社区今天宣布,Software Package Data Exchange®ï¼ˆSPDX®ï¼‰è§„范作为ISO/IEC 5962:2021å‘布,被认定为安全性ã€è®¸å¯åˆè§„å’Œå…¶ä»–è½¯ä»¶ä¾›åº”é“¾æž„ä»¶é¢†åŸŸçš„å›½é™…å¼€æ”¾æ ‡å‡†ã€‚ISO/IEC JTC 1æ˜¯ä¸€ä¸ªç‹¬ç«‹çš„éžæ”¿åºœæ ‡å‡†æœºæž„。
包括英特尔ã€å¾®è½¯ã€è¥¿é—¨åã€ç´¢å°¼ã€æ–°æ€ç§‘技ã€VMwareå’ŒWindRiver在内的众多公å¸å·²ç»ä½¿ç”¨SPDXåœ¨æ”¿ç–æˆ–工具ä¸ä¼ è¾¾è½¯ä»¶ææ–™æ¸…å•(SBOM)信æ¯ï¼Œä»¥ç¡®ä¿åœ¨å…¨çƒè½¯ä»¶ä¾›åº”链ä¸å®žçްåˆè§„和安全开å‘。
Linux基金会执行董事Jim Zemlin表示:“在如何在整个供应链ä¸åˆ›å»ºã€åˆ†å‘和消费软件方é¢ï¼ŒSPDXå¯¹äºŽå»ºç«‹æ›´å¤šçš„ä¿¡ä»»å’Œé€æ˜Žåº¦å‘挥ç€é‡è¦ä½œç”¨ã€‚ä»Žäº‹å®žä¸Šçš„è¡Œä¸šæ ‡å‡†è¿‡æ¸¡åˆ°æ£å¼çš„ISO/IEC JTC 1æ ‡å‡†ï¼Œè®©SPDX得以在全çƒèŒƒå›´å†…显著æå‡é‡‡ç”¨çŽ‡ã€‚SPDXçŽ°åœ¨å®Œå…¨èƒ½å¤Ÿæ”¯æŒæ•´ä¸ªä¾›åº”链ä¸å¯¹è½¯ä»¶å®‰å…¨æ€§å’Œå®Œæ•´æ€§çš„å›½é™…è¦æ±‚。â€
一款现代应用程åºçš„百分之八å至ä¹å(80%-90%ï¼‰å‡æ¥è‡ªå¼€æºè½¯ä»¶ç»„件的组åˆã€‚SBOM表示出应用程åºä¸åŒ…å«çš„软件组件(开æºã€ä¸“æœ‰æˆ–ç¬¬ä¸‰æ–¹ï¼‰ï¼Œå¹¶è¯¦ç»†è¯´æ˜Žå…¶æ¥æºã€è®¸å¯å’Œå®‰å…¨å±žæ€§ã€‚SBOMè¢«ç”¨ä½œè·¨è½¯ä»¶ä¾›åº”é“¾è·Ÿè¸ªå’Œè¿½è¸ªç»„ä»¶çš„åŸºæœ¬æƒ¯ä¾‹åšæ³•的一部分。SBOM还有助于主动识别软件问题和风险,并为其补救建立一个起点。
SPDX是包括领先的软件组件分æžï¼ˆCAS)供应商在内的å„行业代表机构åå¹´åˆä½œçš„结果,这使其æˆä¸ºæœ€å¼ºå¤§ã€æœ€æˆç†Ÿä¸”最为广泛采用的SBOMæ ‡å‡†ã€‚
“éšç€è¿‡åŽ»å年软件供应链ä¸å‡ºçŽ°æ–°çš„ç”¨ä¾‹ï¼ŒSPDX社区已展示出å‘å±•å’Œæ‰©å±•æ ‡å‡†ä»¥æ»¡è¶³æœ€æ–°è¦æ±‚的能力。这真æ£ä½“现了有利于所有行业的å作的力é‡ï¼Œâ€SPDX技术团队è”åˆè´Ÿè´£äººKate Stewart表示, “SPDX将继ç»é€šè¿‡å¼€æ”¾ç¤¾åŒºçš„æŠ•入实现å‘展,我们邀请包括æå‡ºæ–°ç”¨ä¾‹çš„æœ‰å…³æ–¹é¢åœ¨å†…çš„æ‰€æœ‰å„æ–¹å‚与SPDXçš„å‘展,确ä¿è½¯ä»¶ä¾›åº”链的安全。â€
有关如何å‚与SPDX并从ä¸å—益的更多信æ¯ï¼Œè¯·è®¿é—®ï¼šhttps://spdx.dev。
è¦äº†è§£æœ‰å…³å„å…¬å¸å’Œå¼€æºé¡¹ç›®å¦‚何使用SPDX的更多信æ¯ï¼Œè¯·è§‚看8月18日举行的“为软件供应链构建网络安全â€å…¨ä½“大会的录åƒï¼Œç½‘å€ä¸ºï¼šhttps://events.linuxfoundation.org/supply-chain-town-hall/
ISO/IEC JTC 1æ˜¯ä¸€ä¸ªç‹¬ç«‹çš„éžæ”¿åºœå›½é™…组织,总部设在瑞士日内瓦。其æˆå‘˜åŒ…括超过165ä¸ªå›½å®¶æ ‡å‡†æœºæž„ï¼Œè¿™äº›æœºæž„çš„ä¸“å®¶åˆ†äº«çŸ¥è¯†å¹¶åˆ¶å®šæ”¯æŒåˆ›æ–°å’Œè§£å†³å…¨çƒæŒ‘战的自愿性ã€åŸºäºŽå…±è¯†ä¸”å…·å¤‡å¸‚åœºç›¸å…³æ€§çš„å›½é™…æ ‡å‡†ã€‚
支æŒè¯„论
英特尔
“软件安全和信任对我们行业的æˆåŠŸè‡³å…³é‡è¦ã€‚英特尔是SPDX规范开å‘的早期å‚与者,并将SPDX用于内部和外部的众多软件用例,â€è‹±ç‰¹å°”软件和先进技术集团副总è£å…¼æˆ˜ç•¥æ‰§è¡Œæ€»ç»ç†Melissa Evers表示。
微软
“微软已选择采用SPDX作为我们所生产软件的SBOMæ ¼å¼ï¼Œâ€å¾®è½¯è½¯ä»¶ä¾›åº”链安全首å¸äº§å“ç»ç†Adrian Diglio表示, “SPDX SBOM使得生产符åˆç¾Žå›½æ€»ç»Ÿè¡Œæ”¿å‘½ä»¤çš„SBOMå˜å¾—更容易,SPDX在下一代模å¼è®¾è®¡æ–¹é¢æ‰€é‡‡å–的方å‘å°†æœ‰åŠ©äºŽè¿›ä¸€æ¥æé«˜è½¯ä»¶ä¾›åº”é“¾çš„å®‰å…¨æ€§ã€‚â€
西门å
“ISO/IEC 5962:2021让我们拥有了第一个软件包元数æ®å®˜æ–¹æ ‡å‡†ã€‚SPDXåå¹´æ¥ä¸€ç›´æ˜¯äº‹å®žé‡‡ç”¨çš„æ ‡å‡†ï¼Œæˆä¸ºå®˜æ–¹æ ‡å‡†åˆ™æ˜¯æ°´åˆ°æ¸ æˆã€‚这将使供应链ä¸çš„许å¯åˆè§„å˜å¾—æ›´åŠ è½»æ¾ï¼Œç‰¹åˆ«æ˜¯å› 为FOSSologyã€ORTã€scancodeå’Œsw360ç‰å¤šç§å¼€æºå·¥å…·å·²ç»æ”¯æŒSPDX,â€è¥¿é—¨åå¼€æºé«˜çº§ç»ç†Oliver Fendt表示。
索尼
â€œç´¢å°¼å›¢é˜Ÿä½¿ç”¨å¤šç§æ–¹æ³•æ¥ç®¡ç†å¼€æºåˆè§„性和治ç†ï¼Œâ€ç´¢å°¼é›†å›¢å…¬å¸é«˜çº§å‰¯æ€»è£ã€ç ”å‘ä¸å¿ƒå‰¯æ€»è£ã€è½¯ä»¶æˆ˜ç•¥å§”员会代表玉井久视表示, â€œä¸€ä¸ªä¾‹åæ˜¯ä½¿ç”¨åŸºäºŽSPDX Liteçš„OSSç®¡ç†æ¨¡æ¿ï¼Œè¿™æ˜¯SPDXæ ‡å‡†çš„ä¸€ä¸ªç´§å集。å„团队必须能够快速审查软件的类型ã€ç‰ˆæœ¬å’Œè¦æ±‚ï¼Œè€Œä½¿ç”¨æ˜Žç¡®æ ‡å‡†æ˜¯è¿™ä¸€æµç¨‹ä¸çš„关键一环。â€
æ–°æ€ç§‘技
“新æ€ç§‘技的Black Duck团队从一开始就å‚与SPDX项目,我本人有幸在å多年的时间里负责å调该项目的领导工作。æ¥è‡ªæ•°åå®¶å…¬å¸çš„代表为制定æè¿°å’Œä¼ è¾¾è½¯ä»¶åŒ…å†…å®¹çš„æ ‡å‡†æ–¹æ³•è¿™é¡¹é‡è¦å·¥ä½œåšå‡ºäº†è´¡çŒ®ï¼Œâ€Black Duck Audits总ç»ç†Phil Odence表示。
VMware
“SPDX是Automating Compliance Tooling所涵盖的å„ç§å·¥å…·ä¹‹é—´è‡³å…³é‡è¦çš„å…±åŒè”系。通过SPDX,以ä¸åŒè¯è¨€é’ˆå¯¹ä¸åŒè½¯ä»¶ç›®æ ‡ç¼–写的工具å¯å›´ç»•SBOM生产和消费实现一致性和互æ“作性。æ¤å¤–,SPDXä¸ä»…是针对åˆè§„æ€§ï¼Œå…¶å®šä¹‰æ˜Žç¡®ä¸”ä¸æ–å‘展的规范也能够体现安全性和供应链影å“ã€‚è¿™å¯¹äºŽä¸æ–增长的SBOM工具社区éžå¸¸é‡è¦ï¼Œå› ä¸ºè¿™äº›å·¥å…·çš„ç›®æ ‡æ˜¯è¯¦å°½ä½“çŽ°å‡ºçŽ°ä»£è½¯ä»¶çš„å¤æ‚性,â€VMwareçš„ACT TAC主å¸å…¼å¼€æºå·¥ç¨‹å¸ˆRose Judge表示。
Wind River
“SPDXæ ¼å¼å¤§å¹…促进了整个供应链ä¸è½¯ä»¶ç»„ä»¶æ•°æ®çš„共享。过去8å¹´æ¥ï¼ŒWind River一直在使用SPDXæ ¼å¼å‘客户æä¾›è½¯ä»¶ç‰©æ–™æ¸…å•(SBOMï¼‰ã€‚å®¢æˆ·é€šå¸¸ä¼šè¯·æ±‚å®šåˆ¶æ ¼å¼çš„SBOMæ•°æ®ã€‚SPDXçš„æ ‡å‡†åŒ–ä½¿æˆ‘ä»¬èƒ½å¤Ÿä»¥æ›´ä½Žçš„æˆæœ¬æä¾›æ›´é«˜è´¨é‡çš„SBOM,â€Wind Riverå¼€æºè®¡åˆ’办公室主任兼OpenChain规范主å¸Mark Gisi表示。
关于SPDX
SPDXæ˜¯ç”¨äºŽæ²Ÿé€šåŒ…æ‹¬æ¥æºã€è®¸å¯ã€å®‰å…¨æ€§å’Œå…¶ä»–相关信æ¯åœ¨å†…的软件物料清å•ä¿¡æ¯çš„å¼€æ”¾æ ‡å‡†ã€‚SPDX通过为组织和社区æä¾›å…±äº«é‡è¦æ•°æ®çš„å…±åŒæ ¼å¼æ¥å‡å°‘冗余工作,从而简化和改善åˆè§„性ã€å®‰å…¨æ€§å’Œå¯é 性。如需更多信æ¯ï¼Œè¯·è®¿é—®æˆ‘们的网站:spdx.org。
LinuxåŸºé‡‘ä¼šæ‹¥æœ‰æ³¨å†Œå•†æ ‡å¹¶ä½¿ç”¨å•†æ ‡ã€‚æœ‰å…³LinuxåŸºé‡‘ä¼šçš„å•†æ ‡åˆ—è¡¨ï¼Œè¯·å‚é˜…æˆ‘ä»¬çš„å•†æ ‡ä½¿ç”¨é¡µé¢ï¼š https://www.linuxfoundation.org/trademark-usage。Linux是Linus Torvaldsçš„æ³¨å†Œå•†æ ‡ã€‚
媒体è”系人
Jennifer Cloer
(Linux Foundation)
503-867-2304
[email protected]
相关链接 :
SPDXæˆä¸ºå›½é™…认å¯çš„è½¯ä»¶ç‰©æ–™æ¸…å•æ ‡å‡† - 新闻稿网[Xinwengao.com]
Source: 新闻稿网åˆä½œä¼™ä¼´ - Xinwengao.com