Auteur: Kate Stewart, vice-présidente des systèmes fiables, The Linux Foundation
Dans un précédent blog de la Linux Foundation, David A. Wheeler, directeur de LF Supply Chain Security, a expliqué comment les capacités développées par les communautés Linux Foundation peut être utilisé pour répondre aux exigences de sécurité de la chaîne logistique logicielle fixé par le Décret exécutif américain sur la cybersécurité.
L’une de ces capacités, SPDX, répond entièrement aux exigences du décret exécutif 4 (e), 4 (f) et 10 (j) pour une nomenclature logicielle (SBOM). La spécification SPDX est implémentée sous la forme d’un format de fichier qui identifie les composants logiciels dans un plus grand morceau de logiciel informatique et des métadonnées telles que les licences de ces composants.
SPDX est une norme ouverte pour la communication des informations de nomenclature logicielle (SBOM), y compris les composants, les licences, les droits d’auteur et les références de sécurité. Il dispose d’un riche écosystème d’outils existants qui fournit un format commun aux entreprises et aux communautés pour partager des données importantes afin de rationaliser et d’améliorer l’identification et la surveillance des logiciels.
Les SBOM ont de nombreux cas d’utilisation. Ils ont souvent été utilisés dans des domaines tels que la conformité des licences, mais sont également utiles dans la sécurité, le contrôle des exportations et des processus plus larges tels que les processus de fusions et acquisitions (M&A) ou les investissements en capital-risque. SDPX maintient une communauté active pour prendre en charge divers usages, modélisant sa gouvernance et son activité sur le même format qui a soutenu avec succès des projets de logiciels open source au cours des trois dernières décennies.
Le LF a développé et affiné SPDX depuis plus de dix ans et a été largement adopté par les entreprises et les projets de l’industrie du logiciel. Des exemples récents notables sont les contributions de sociétés telles que Hitachi, Fujitsu et Toshiba à l’avancement de la norme via des profils optionnels tels que «SPDX Lite» dans la version de spécification SPDX 2.2 et à la prise en charge des SPDX SBOM dans des solutions d’automatisation propriétaires et open source.
Cette norme de facto a été soumise à l’ISO via la Joint Development Foundation en utilisant le processus de transposition PAS du Joint Technical Committee 1 (JTC1). Il est actuellement en phase d’enquête du processus et peut être consulté sur le site Web de l’ISO en tant que ISO / CEI DIS 5962.
Il existe un large éventail d’outils open source, ainsi que des options d’outils commerciaux émergents ainsi que des options disponibles aujourd’hui. Des entreprises telles que FOSSID et Synopsys travaillent avec le format SPDX depuis plusieurs années. Outils Open Source comme FOSSologie (Analyse du code source), Boîte à outils de révision OSS (Génération à partir de l’infrastructure CI & Build), Sterne (analyse du contenu du conteneur), Intendant (construire des extensions), ScanCode (analyse du code source) en plus de Outils SPDX projet ont également normalisé l’utilisation de SPDX pour l’échange participent également à Outillage de conformité automatisé (ACT) Projet Umbrella. ACT a été discuté en tant que solutions axées sur la communauté pour la correction de la sécurité de la chaîne d’approvisionnement de logiciels dans le cadre de notre résumé des résultats dans le Vulnérabilités dans le noyau étude, qui a été publiée par la Linux Foundation et la Harvard University LISH en février 2020.
Une chose est claire: une nomenclature logicielle qui peut être partagée sans frictions entre différentes équipes et entreprises sera au cœur du développement et du déploiement de logiciels au cours de la prochaine décennie. Le partage des métadonnées logicielles prendra différentes formes, y compris des revues manuelles et automatisées, mais les structures de base resteront les mêmes.
La normalisation dans ce domaine, comme dans d’autres, est la clé du succès. Ce domaine a un avantage en ce que nous bénéficions d’une décennie entière de travail préalable dans SPDX. Par conséquent, le processus devient la mise en œuvre de cette norme dans les divers domaines plutôt que la création, l’expansion ou le raffinement supplémentaire d’approches nouvelles ou naissantes de la question.
Commencez à utiliser la spécification SPDX ici:https://spdx.github.io/spdx-spec/. Le développement de la prochaine révision est en cours, donc s’il y a un cas d’utilisation que vous ne pouvez pas représenter avec la spécification actuelle, ouvrir un problème, c’est la bonne fenêtre pour la saisie.
Pour en savoir plus sur les nombreuses facettes du projet SPDX, consultez: https://spdx.dev/
La poste SPDX: il est déjà utilisé pour la nomenclature logicielle mondiale (SBOM) et la sécurité de la chaîne d’approvisionnement est apparu en premier le Fondation Linux.