【サンフランシスコ2021年9月13日PR Newswire=共同通信JBN】
*10年以上にわたり世界の多くの大企業に支持されてきたSPDXが、ソフトウエアとサプライチェーンセキュリティーの変革期に、正式に国際的に認められたISO/IEC JTC 1規格になった
The Linux Foundation、Joint Development Foundation、SPDXコミュニティーは10日、Software Package Data Exchange(R)(SPDX(R))仕様がISO/IEC 5962:2021(ISO/IEC 5962:2021 )として公示され、セキュリティー、ライセンスコンプライアンス、その他のソフトウエアサプライチェーン・アーティファクトの国際的なオープンスタンダードとして認められたと発表した。ISO/IEC JTC 1は、独立した非政府標準化団体である。
インテル、マイクロソフト、シーメンス、ソニー、シノプシス、VMware、ウインドリバーは、既にSPDXを使用してソフトウエア部品表(SBOM)情報をポリシーやツールでやり取りし、グローバルなソフトウエアサプライチェーンでのコンプライアンスや安全な開発を実現している企業のほんの一例である。
The Linux FoundationのJim Zemlinエグゼクティブディレクターは「SPDXは、作成、流通から消費までソフトウエアのサプライチェーン全体における信頼性、透明性の向上に重要な役割を果たしている。事実上の業界標準からISO/IEC JTC 1規格に移行したことで、グローバルな舞台でSPDXの採用が飛躍的に増えるだろう。SPDXはようやく、サプライチェーン全体でソフトウエアのセキュリティーと完全性の国際的要件をサポートする適所に収まった」と語った。
最近のアプリケーションの80-90%は、オープンソースのソフトウエア部品でつくられている。SBOMは、オープンソース、プロプライエタリー、サードパーティーなど、アプリケーションに含まれるソフトウエア部品を特定し、その出所、ライセンス、セキュリティー属性を詳細に示す。SBOMは、ソフトウエアサプライチェーン全体で部品を追跡する基本的作業の一環として使用される。SBOMは、ソフトウエアの問題やリスクを事前に特定し、その修正の出発点を決めるのにも役立つ。
SPDXは、ソフトウエア・コンポジション解析(SCA)の主要ベンダーを含む各業界の代表の10年にわたる協力の結果、最も堅ろうで成熟したSBOM規格として採用された。
SPDX技術チームの共同リード、Kate Stewart氏は「過去10年間、ソフトウエアのサプライチェーンには新たなユースケースが登場してきたが、SPDXコミュニティーは、規格を進化、拡張することで最新の要求に応える能力があることを実証してきた。あらゆる業界にメリットをもたらす作業で、コラボレーションの力を見せつけた形だ。SPDXは、オープンコミュニティーの情報によって進化し続けていく。そして、新たなユースケースを有する人を含め、全ての人にSPDXの進化とソフトウエアサプライチェーンの安全確保に参加してもらいたい」と語った。
SPDXに参加し、そのメリットを享受する方法の詳細については、https://spdx.dev を参照。
企業やオープンソースプロジェクトがSPDXをどのように活用しているかの詳細については、8月18日に開催されたタウンホール「ソフトウエアサプライチェーンへのサイバーセキュリティーの組み込み(Building Cybersecurity into the Software Supply Chain)」の模様の録画が以下で視聴できる。
https://events.linuxfoundation.org/supply-chain-town-hall/
ISO/IEC JTC 1は、スイスのジュネーブに本部を置く独立した非政府国際機関である。メンバーは165以上の国内標準化団体と専門家で構成されており、知識を共有して、イノベーションをサポートしグローバルな課題の解決策を提供する、自発的かつコンセンサスに基づく、市場に適した国際規格を開発している。
支持のコメント
インテル
インテルのMelissa Eversソフトウエア・先端技術グループ・バイスプレジデント兼戦略実行ゼネラルマネジャーは「ソフトウエアのセキュリティーと信頼性は、わが業界の成功に不可欠だ。インテルは、SPDX仕様の開発に早くから参加、社内外の多くのソフトウエアのユースケースでSPDXを活用している」と語った。
マイクロソフト
マイクロソフトのAdrian Diglioソフトウエアサプライチェーン・セキュリティー主任プログラムマネージャーは「マイクロソフトは、当社製ソフトウエアのSBOMフォーマットとしてSPDXを採用している。SPDX SBOMは、米大統領令に準拠したSBOM作成を容易にしてくれる。また、SPDXの次世代スキーマ設計の方向性は、ソフトウエアサプライチェーンのさらなるセキュリティー向上に役立つだろう」と語った。
シーメンス
シーメンスのOliver Fendtオープンソース・シニアマネージャーは「ISO/IEC 5962:2021には、ソフトウエアパッケージのメタデータに関する初の公式規格が採用された。10年間、事実上の業界標準だったSPDXの公式規格採用は当然だ。特にFOSSology、ORT、scancode、sw360などいくつかのオープンソース・ツールは既にSPDXをサポートしているため、サプライチェーン内のライセンスコンプライアンスがはるかに容易になるだろう」と語った。
ソニー
ソニーグループ株式会社の執行役員でR&Dセンター副センター長の玉井久視氏は「ソニーでは、オープンソースのコンプライアンスやガバナンスの管理にさまざまな手法を採用している。その一例が、SPDX規格のコンパクトなサブセットSPDX LiteをベースにしたOSS管理テンプレートシートの使用だ。当社にとって、ソフトウエアの種類、バージョン、要件を素早く確認できることが重要で、明確な規格の採用はこのプロセスの重要部分だ」と語った。
シノプシス
Black Duck監査のPhil Odenceゼネラルマネジャーは「シノプシスのBlack Duckチームは、SPDXの始動当初から参加しており、私自身も10年以上にわたってプロジェクトのリーダーの活動をコーディネートさせてもらった。ソフトウエアパッケージの内容を説明・伝達する標準的方法の開発という重要な仕事に、数多くの企業の代表が貢献してきた」と語った。
VMware
VMwareのオープンソースエンジニアで自動コンプライアンス・ツーリングTAC委員長のRose Judge氏は「SPDXは、自動コンプライアンス・ツーリング(ACT)傘下のツールに不可欠な共通要素だ。SPDXは、異なる言語、異なるソフトウエアターゲットで書かれたツールが、SBOMの作成と消費に関して一貫性と相互運用性を発揮できるようにする。SPDXは、コンプライアンスのためだけのものではなく、セキュリティーやサプライチェーンにも影響を与えることができるよう決められた仕様は、絶えず進化している。これは、現代のソフトウエアの複雑さの徹底的な説明を目指すSBOMツールコミュニティーにとって非常に重要だ」と語った。
ウインドリバー
ウインドリバーのオープンソースプログラム室長でOpenChain仕様リーダーのMark Gisi氏は「SPDXフォーマットは、サプライチェーン全体でのソフトウエア部品データの共有を大幅に促進する。ウインドリバーは過去8年間、SPDXフォーマットを使い、ソフトウエア部品表(SBOM)を顧客に提供してきた。顧客がカスタムフォーマットでSBOMデータを要求してくることも多い。SPDXが標準化されたことで、より高品質なSBOMを低コストで提供できるようになった」と語った。
▽SPDXについて
SPDXは、出所、ライセンス、セキュリティー、その他の関連情報を含むソフトウエア部品表情報を伝達するためのオープンスタンダードである。SPDXは、企業やコミュニティーが重要データを共有するための共通フォーマットを提供することで余分な作業を削減、コンプライアンス、セキュリティー、信頼性を効率化し向上させる。詳細については、spdx.org を参照。
The Linux Foundationは商標を登録し、商標を使用している。The Linux Foundation の商標の一覧については、商標使用ページhttps://www.linuxfoundation.org/trademark-usage を参照。LinuxはLinus Torvaldsの登録商標である。
▽メディア問い合わせ先
Jennifer Cloer
for the Linux Foundation
+1-503-867-2304
jennifer@storychangesculture.com
Logo - https://mma.prnasia.com/media2/455385/The_Linux_Foundation_Logo.jpg?p=medium600