Soutenu par plusieurs des plus grandes entreprises du monde depuis plus d’une décennie, SPDX devient officiellement un ISO/IEC JTC 1 internationalement reconnu. standard pendant une période de transformation pour la sécurité des logiciels et de la chaîne d’approvisionnement

SAN FRANCISCO, 9 septembre 2021 – La Linux Foundation, la Joint Development Foundation et la communauté SPDX, ont annoncé aujourd’hui que la spécification Software Package Data Exchange® (SPDX®) a été publiée sous le nom ISO/CEI 5962:2021 et reconnu comme la norme ouverte internationale pour la sécurité, la conformité des licences et d’autres artefacts de la chaîne d’approvisionnement logicielle. ISO/IEC JTC 1 est un organisme de normalisation indépendant et non gouvernemental.

Intel, Microsoft, Siemens, Sony, Synopsys, VMware et WindRiver ne sont qu’un petit échantillon des entreprises qui utilisent déjà SPDX pour communiquer des informations sur la nomenclature logicielle (SBOM) dans des politiques ou des outils pour assurer un développement conforme et sécurisé à travers les chaînes d’approvisionnement mondiales en logiciels. .

« SPDX joue un rôle important dans l’instauration d’une confiance et d’une transparence accrues dans la manière dont les logiciels sont créés, distribués et consommés tout au long des chaînes d’approvisionnement. La transition d’une norme industrielle de facto à une norme officielle ISO/IEC JTC 1 positionne SPDX pour une adoption considérablement accrue dans l’arène mondiale », a déclaré Jim Zemlin, directeur exécutif de la Linux Foundation. « SPDX est désormais parfaitement positionné pour répondre aux exigences internationales en matière de sécurité et d’intégrité des logiciels tout au long de la chaîne d’approvisionnement. »

Entre quatre-vingt et quatre-vingt-dix pour cent (80 à 90 %) d’une application moderne est assemblée à partir de composants logiciels open source. Un SBOM comptabilise les composants logiciels contenus dans une application (open source, propriétaire ou tiers) et détaille leur provenance, leur licence et leurs attributs de sécurité. Les SBOM sont utilisés dans le cadre d’une pratique fondamentale pour suivre et tracer les composants à travers les chaînes d’approvisionnement logicielles. Les SBOM aident également à identifier de manière proactive les problèmes et les risques logiciels et à établir un point de départ pour leur résolution.

Publicité

SPDX est le résultat de dix années de collaboration entre des représentants de tous les secteurs, y compris les principaux fournisseurs d’analyse de composition logicielle (SCA), ce qui en fait la norme SBOM la plus robuste, la plus mature et la plus adoptée.

« Alors que de nouveaux cas d’utilisation sont apparus dans la chaîne d’approvisionnement des logiciels au cours de la dernière décennie, la communauté SPDX a démontré sa capacité à faire évoluer et à étendre la norme pour répondre aux dernières exigences. Cela représente vraiment la puissance de la collaboration sur un travail qui profite à toutes les industries », a déclaré Kate Stewart, co-responsable de l’équipe technique de SPDX. « SPDX continuera d’évoluer avec une contribution ouverte de la communauté, et nous invitons tout le monde, y compris ceux qui ont de nouveaux cas d’utilisation, à participer à l’évolution de SPDX et à la sécurisation de la chaîne d’approvisionnement logicielle.

Pour plus d’informations sur la façon de participer et de bénéficier de SPDX, veuillez visiter: https://spdx.dev.

Pour en savoir plus sur la façon dont les entreprises et les projets open source utilisent SPDX, les enregistrements de l’assemblée publique « Construire la cybersécurité dans la chaîne d’approvisionnement logicielle » qui s’est tenue le 18 août sont disponibles et peuvent être consultés sur : https://events.linuxfoundation.org/supply-chain-town-hall/

ISO/IEC JTC 1 est une organisation internationale non gouvernementale indépendante basée à Genève, en Suisse. Ses membres représentent plus de 165 organismes nationaux de normalisation avec des experts qui partagent leurs connaissances et élaborent des normes internationales volontaires, consensuelles et pertinentes pour le marché qui soutiennent l’innovation et apportent des solutions aux défis mondiaux.

Commentaires à l’appui

Intelligence

« La sécurité et la confiance des logiciels sont essentielles au succès de notre industrie. Intel a été l’un des premiers participants au développement de la spécification SPDX et utilise SPDX à la fois en interne et en externe pour un certain nombre de cas d’utilisation de logiciels », a déclaré Melissa Evers, vice-présidente – Software and Advanced Technology Group, directrice générale de la stratégie à l’exécution, Intel.

Microsoft

« Microsoft a adopté SPDX comme format SBOM de choix pour les logiciels que nous produisons », déclare Adrian Diglio, responsable principal du programme de sécurité de la chaîne d’approvisionnement logicielle chez Microsoft. « Les SBOM SPDX facilitent la production de SBOM conformes au décret présidentiel américain, et la direction prise par SPDX avec la conception de leur schéma de nouvelle génération contribuera à améliorer encore la sécurité de la chaîne d’approvisionnement logicielle. »

Siemens

« Avec ISO/IEC 5962:2021, nous avons la première norme officielle pour les métadonnées des progiciels. Il est naturel que SPDX soit cette norme, car c’est la norme de facto depuis une décennie. Cela facilitera beaucoup la conformité des licences dans la chaîne d’approvisionnement, en particulier parce que plusieurs outils open source tels que FOSSology, ORT, scancode et sw360 prennent déjà en charge SPDX », a déclaré Oliver Fendt, directeur principal, open source chez Siemens.

Sony

« L’équipe Sony utilise diverses approches pour gérer la conformité et la gouvernance open source », déclare Hisashi Tamai, vice-président principal, vice-président du centre de R&D, représentant du comité de stratégie logicielle, Sony Group Corporation. « Un exemple est l’utilisation d’une feuille de modèle de gestion OSS basée sur SPDX Lite, un sous-ensemble compact de la norme SPDX. Il est important que les équipes puissent examiner rapidement le type, la version et les exigences du logiciel, et l’utilisation d’une norme claire est un élément clé de ce processus.

Synopsis

« L’équipe Black Duck de Synopsys est impliquée dans SPDX depuis sa création, et j’ai personnellement eu le plaisir de coordonner les activités de la direction du projet pendant plus d’une décennie. Des représentants d’un grand nombre d’entreprises ont contribué à l’important travail de développement d’une méthode standard de description et de communication du contenu d’un progiciel », a déclaré Phil Odence, directeur général de Black Duck Audits.

VMware

« SPDX est le fil conducteur essentiel des outils sous l’égide de l’automatisation de l’outillage de conformité (ACT). SPDX permet à des outils écrits dans différents langages et pour différentes cibles logicielles d’obtenir cohérence et interopérabilité autour de la production et de la consommation de SBOM. SPDX n’est pas seulement pour la conformité non plus ; la spécification bien définie et en constante évolution est également capable de représenter les implications de la sécurité et de la chaîne d’approvisionnement. Ceci est extrêmement important pour la communauté croissante d’outils SBOM, car ils visent à représenter en profondeur les subtilités des logiciels modernes », a déclaré Rose Judge, présidente d’ACT TAC et ingénieur open source chez VMware.

Rivière du vent

« Le format SPDX facilite grandement le partage des données des composants logiciels tout au long de la chaîne d’approvisionnement. Wind River fournit une nomenclature logicielle (SBOM) à ses clients en utilisant le format SPDX depuis 8 ans. Souvent, les clients demandent des données SBOM dans un format personnalisé. La standardisation sur SPDX nous a permis de fournir un SBOM de meilleure qualité à moindre coût », a déclaré Mark Gisi, directeur du bureau du programme Open Source de Wind River et président de la spécification OpenChain.

À propos de SPDX

SPDX est une norme ouverte pour la communication d’informations sur la nomenclature des logiciels, y compris la provenance, la licence, la sécurité et d’autres informations connexes. SPDX réduit le travail redondant en fournissant des formats communs aux organisations et aux communautés pour partager des données importantes, rationalisant et améliorant ainsi la conformité, la sécurité et la fiabilité. Pour plus d’informations, veuillez nous rendre visite sur spdx.org.

###

La Linux Foundation a des marques déposées et utilise des marques commerciales. Pour obtenir une liste des marques déposées de The Linux Foundation, veuillez consulter notre page d’utilisation des marques déposées : https://www.linuxfoundation.org/trademark-usage. Linux est une marque déposée de Linus Torvalds.

Contact médias

Jennifer Cloer

pour la Fondation Linux

503-867-2304

jennifer@storychangesculture.com

La poste SPDX devient une norme internationalement reconnue pour la nomenclature des logiciels est apparu en premier sur Fondation Linux.

Rate this post
Publicité
Article précédentBob Odenkirk revient pour mieux appeler Saul Production après une crise cardiaque
Article suivantL’eau de crue toxique est le dernier danger causé par le torrent record d’Ida dans le nord-est
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici