SPDX теперь является официальным стандартом данных для спецификации программного обеспечения

SPDX теперь является официальным стандартом данных для спецификации программного обеспечения

Источник · Перевод автора

Обмен пакетными данными программного обеспечения (SPDX, The Software Packet Data Exchange), формат файла и открытый стандарт, используемый более десяти лет для документирования всех компонентов в программном обеспечении, теперь является международно признанным стандартом для ведомости материалов программного обеспечения (SBOM, standard for software bill of materials).

Объявление сделано в знаменательный момент в сфере безопасности программного обеспечения. В связи с тем, что бесчисленные организации, включая правительственные учреждения, больницы и мегакорпорации, страдающие от целенаправленных атак на цепочки поставок программного обеспечения – таких как атака на SolarWinds, – оказались в центре внимания, президент США Байден в мае издал указ, в котором излагаются основные шаги по повышению кибербезопасности страны. Частью этого приказа была защита программного обеспечения с открытым исходным кодом, используемого в федеральных информационных системах, в том числе:

«… поддержание точных и актуальных данных, происхождение программного кода или компонентов, а также контроль над внутренними и сторонними программными компонентами, инструментами и услугами, присутствующими в процессах разработки программного обеспечения, а также выполнение аудитов и правоприменения этих элементов управления на повторяющейся основе».

Здесь главное – прозрачность. И для достижения этой цели в приказе указывалось, что все ИКТ-компании, работающие с федеральными правительственными агентствами, должны предоставлять SBOM для каждого элемента, используемого в программном стеке.

По сути, это означает полный список проприетарных и открытых библиотек, модулей и API. Это также влечет за собой определение отношений между всеми компонентами и зависимостями. Имея такой инвентарь, становится проще отслеживать и отслеживать компоненты, используемые в цепочке поставок программного обеспечения, и выявлять внутренние уязвимости.

Штамп

Под эгидой Linux Foundation SPDX уже стал де-факто SBOM для множества компаний, включая Microsoft, Intel, Siemens, Sony, Synopsys, VMware и WindRiver. Но теперь он проштампован Международной организацией по стандартизации (ISO), глобальной организацией, которая разрабатывает технические, промышленные и коммерческие стандарты.

Это означает, что SPDX теперь является официальным открытым стандартным форматом данных для передачи всей информации метаданных программного обеспечения по всей цепочке поставок. Это также вписывается в более широкий правительственный толчок к SBOM – распоряжение Байдена специально проверило имена трех существующих стандартов данных, которые соответствовали бы требованиям, включая CycloneDX, теги SWID и SPDX.