2019年にLinux Foundationファミリーの一員となったJoint Development Foundation (JDF) は先月、ISO/IEC JTC 1 PAS (“Publicly Available Specification”) Submitter (ISO/IEC第1合同技術委員会 公開仕様書提出者) として認定されました。この認定によりLinux Foundationは、国の機関の承認および国際的な承認を得るために、仕様をJTC 1に提出することができます。JTC 1がPAS提出を承認すると国際標準になります。 またJDFは5月、OpenChain仕様がJTC 1の国際標準としての審査を受けるために提出された最初の仕様であることを発表しました。
Linux Foundationは本日、最新のSPDXリリース (バージョン2.2) がJDFを通じてISO/IEC JTC 1に提出された2番目の仕様であることを発表しました。SPDX (Software Package Data Exchange) を簡潔に説明すると、コンポーネント、ライセンス、著作権、セキュリティ リファレンスなど、ソフトウェアの部品表情報を伝えるためのオープンスタンダードです。SPDXは、企業やコミュニティが重要なデータを共有するための共通フォーマットを提供することで、冗長な作業を削減し、コンプライアンスの合理化と向上を実現します。SPDX仕様の最初のバージョンは10年前でしたが、その後も長年にわたりより多くのソフトウェア部品表情報の自動化をサポートするために改良と進化を続けてきました。
SPDXは、セキュリティとコンプライアンスの観点から重要なソフトウェア部品表情報のメタデータの正確性を検証する役割を果たします。何百万ものオープンソース ソフトウェア プロジェクト (GitHubだけでも3,400万ものオープンリポジトリ) が存在し、どれが最も重要で、誰が作成し、セキュリティ上の脆弱性が何かを知ることは難しいと考えられます。SPDXは、ソフトウェアの作成、配布、消費の方法における信頼と透明性を高める上で重要な役割を果たします。 多くの人がSPDXをすでにデファクトスタンダードと考えていますが、JTC1の承認は世界規模での採用を加速させます。
Linux Foundation のエグゼクティブ ディレクターであるJim Zemlinは、次のように述べています。
「SPDX仕様は、オープンソースの採用を可能にし、コンプライアンスを自動化するための基盤を確立する上で、過去10年間にわたり重要な役割を果たしてきました。JDFによるISO/IEC JTC 1への提出により、企業のコンプライアンス上のリスクとコストを軽減しながらオープンソース メタデータ情報の共有方法に対処する承認された国際標準になることを期待しています。」
- Dent Introduces Industry’s First End-to-End Networking Stack Designed for the Modern Distributed Enterprise Edge and Powered by Linux - 2020-12-17
- Open Mainframe Project Welcomes New Project Tessia, HCL Technologies and Red Hat to its Ecosystem - 2020-12-17
- New Open Source Contributor Report from Linux Foundation and Harvard Identifies Motivations and Opportunities for Improving Software Security - 2020-12-08