10年以上にわたり世界の多くの大企業の支援を受けてきたSPDX ー
ソフトウェアやサプライチェーンのセキュリティ変革期に正式に国際的な ISO/IEC JTC 1 標準に
2021年9月9日、サンフランシスコ発 – The Linux Foundation、Joint Development Foundation、およびSPDXコミュニティは、Software Package Data Exchange® (SPDX®) 仕様が ISO/IEC 5962:2021 として公開され、セキュリティ、ライセンス コンプライアンス、およびその他のソフトウェア サプライチェーン成果物に関する国際オープン標準として認められたことを発表しました。ISO/IEC JTC 1は独立した非政府標準化団体です。
たとえば、Intel、Microsoft、Siemens、ソニー、Synopsys、VMware、WinDriveRなどは、すでにSPDXを使用してポリシーやツールでソフトウェア部品表 (SBOM) 情報をやりとりし、グローバル ソフトウェア サプライチェーン全体でSPDXに準拠した安全な開発を行えるようにしています。
LinuxFoundationのエグゼクティブディレクターであるJimZemlinは次のように述べています。
「SPDXは、サプライチェーン全体におけるソフトウェアの作成・配布・消費に関する信頼と透明性を高める上で、重要な役割を果たしています。事実上の業界標準から正式なISO/IEC JTC1標準となり、SPDXの採用はグローバルな規模で劇的に増加しています。SPDXは、サプライチェーン全体におけるソフトウェアのセキュリティと整合性の国際的な要件をサポートする最適な標準となりました。」
現代のアプリケーションの80~90%は、オープンソース ソフトウェア コンポーネントから組み立てられています。SBOMは、アプリケーションに含まれるソフトウェア コンポーネント(オープンソース、プロプライエタリ、またはサードパーティ)について、およびそれらの出所・ライセンス・セキュリティ属性の詳細について説明します。SBOMは、ソフトウェア サプライチェーン全体でコンポーネントを追跡するための基本的なプラクティスの一部として使用されます。SBOMは、ソフトウェアの問題とリスクを事前に特定し、それらを修正するための開始点を確立するのにも役立ちます。
SPDXは、主要なソフトウェア コンポジション解析(SCA)ベンダーを含む、業界全体の代表者による10年間のコラボレーションの結果であり、最も堅牢で成熟し、最も採用されているSBOM標準となっています。
SPDX技術チームの共同リーダーであるKate Stewartは述べています。
「過去10年間にソフトウェア サプライチェーンには新しいユースケースが出現しましたが、SPDXコミュニティは最新の要件に合わせて標準を進化・拡張できることを実証してきました。これはまさに、コラボレーションの力がすべての業界にメリットをもたらすことを表しています。SPDXはオープン コミュニティの意見を取り入れて進化し続けます。新しいユースケースを持つ人をはじめとするすべての人に、SPDXの進化とソフトウェア サプライチェーンの保護に参加していただきたいと思います。」
SPDXへの参加方法およびメリットの詳細については、https://spdx.dev を参照してください。
企業やオープンソースプロジェクトによるSPDXの利用の詳細については、8月18日に開催されたTown Hallの「Building Cybersecurity into the Software Supply Chain(ソフトウェア サプライチェーンにサイバーセキュリティを構築する)」の録画 https://events.linuxfoundation.org/supply-chain-town-hall/ をご覧ください。
ISO/IEC JTC 1は、スイスのジュネーブに本部を置く独立した非政府国際機関です。そのメンバーシップは165を超える国家標準化団体を代表し、専門家らが知識を共有することで、自主的でコンセンサスベースな市場関連の国際標準を開発し、イノベーションをサポートし、グローバルな課題の解決策を提供します。
支援の声(原文)
Intel
“Software security and trust are critical to our Industry’s success. Intel has been an early participant in the development of the SPDX specification and utilizes SPDX both internally and externally for a number of software use-cases,” said Melissa Evers, Vice President – Software and Advanced Technology Group, General Manager of Strategy to Execution, Intel.
Microsoft
“Microsoft has adopted SPDX as our SBOM format of choice for software we produce,” says Adrian Diglio, Principal Program Manager of Software Supply Chain Security at Microsoft. “SPDX SBOMs make it easy to produce U.S. Presidential Executive Order compliant SBOMs, and the direction that SPDX is taking with the design of their next gen schema will help further improve the security of the software supply chain.”
Siemens
“With ISO/IEC 5962:2021 we have the first official standard for metadata of software packages. It’s natural that SPDX is that standard, as it’s been the de facto standard for a decade. This will make license compliance in the supply chain much easier, especially because several open source tools like FOSSology, ORT, scancode, and sw360 already support SPDX,” said Oliver Fendt, senior manager, open source at Siemens.
Sony
”The Sony team uses various approaches to managing open source compliance and governance,” says Hisashi Tamai, Senior Vice President, Deputy President of R&D Center, Representative of the Software Strategy Committee, Sony Group Corporation. “An example is the use of an OSS management template sheet that is based on SPDX Lite, a compact subset of the SPDX standard. It is important for teams to be able to quickly review the type, version, and requirements of software, and using a clear standard is a key part of this process.”
Synopsys
“The Black Duck team from Synopsys has been involved with SPDX since its inception, and I personally had the pleasure of coordinating the activities of the project’s leadership for more than a decade. Representatives from scores of companies have contributed to the important work of developing a standard way of describing and communicating the content of a software package,” said Phil Odence, General Manager, Black Duck Audits.
VMware
“SPDX is the essential common thread among tools under the Automating Compliance Tooling (ACT) Umbrella. SPDX enables tools written in different languages and for different software targets to achieve coherence and interoperability around SBOM production and consumption. SPDX is not just for compliance, either; the well-defined and ever-evolving spec is also able to represent security and supply chain implications. This is incredibly important for the growing community of SBOM tools as they aim to thoroughly represent the intricacies of modern software,” said Rose Judge, ACT TAC Chair and open source engineer at VMware.
Wind River
“The SPDX format greatly facilitates the sharing of software component data across the supply chain. Wind River has been providing a Software Bill of Materials (SBOM) to its customers using the SPDX format for the past 8 years. Often customers will request SBOM data in a custom format. Standardizing on SPDX has enabled us to deliver a higher quality SBOM at a lower cost,” said Mark Gisi, Wind River Open Source Program Office Director and OpenChain Specification Chair.
SPDXについて
SPDXは、ソフトウェア部品表情報(来歴、ライセンス、セキュリティ、およびその他の関連情報を含む)をやりとりするためのオープン スタンダードです。SPDXは、組織やコミュニティが重要なデータを共有するための共通の形式を提供することで冗長な作業を減らし、それによってコンプライアンス、セキュリティ、および信頼性を合理化および改善します。詳細については、spdx.dev をご覧ください。
###
The Linux Foundation はさまざまな商標を登録および使用しています。The Linux Foundation の商標については、商標使用のページをご確認ください。Linux は Linus Torvalds の登録商標です。