（全球TMT2021年9月11日訊）Linux基金會、聯(lián)合開發(fā)基金會（Joint Development Foundation）和SPDX社區(qū)宣布，Software Package Data Exchange?（SPDX?）規(guī)范作為ISO/IEC 5962:2021發(fā)布，被認定為安全性、許可合規(guī)和其他軟件供應(yīng)鏈構(gòu)件領(lǐng)域的國際開放標(biāo)準(zhǔn)。ISO/IEC JTC 1是一個獨立的非政府標(biāo)準(zhǔn)機構(gòu)。

包括英特爾、微軟、西門子、索尼、新思科技、VMware和WindRiver在內(nèi)的眾多公司已經(jīng)使用SPDX在政策或工具中傳達軟件材料清單（SBOM）信息，以確保在全球軟件供應(yīng)鏈中實現(xiàn)合規(guī)和安全開發(fā)。

Linux基金會執(zhí)行董事Jim Zemlin表示：“在如何在整個供應(yīng)鏈中創(chuàng)建、分發(fā)和消費軟件方面，SPDX對于建立更多的信任和透明度發(fā)揮著重要作用。從事實上的行業(yè)標(biāo)準(zhǔn)過渡到正式的ISO/IEC JTC 1標(biāo)準(zhǔn)，讓SPDX得以在全球范圍內(nèi)顯著提升采用率。SPDX現(xiàn)在完全能夠支持整個供應(yīng)鏈中對軟件安全性和完整性的國際要求?！?/p>

一款現(xiàn)代應(yīng)用程序的百分之八十至九十（80%-90%）均來自開源軟件組件的組合。SBOM表示出應(yīng)用程序中包含的軟件組件（開源、專有或第三方），并詳細說明其來源、許可和安全屬性。SBOM被用作跨軟件供應(yīng)鏈跟蹤和追蹤組件的基本慣例做法的一部分。SBOM還有助于主動識別軟件問題和風(fēng)險，并為其補救建立一個起點。

SPDX是包括領(lǐng)先的軟件組件分析（CAS）供應(yīng)商在內(nèi)的各行業(yè)代表機構(gòu)十年合作的結(jié)果，這使其成為最強大、最成熟且最為廣泛采用的SBOM標(biāo)準(zhǔn)。