San Francisco (ots\/PRNewswire) – SPDX, das von vielen der weltweit gr\u00f6\u00dften Unternehmen seit mehr als einem Jahrzehnt unterst\u00fctzt wird, wird offiziell zum international anerkannten ISO\/IEC JTC 1-Standard – und das in einer Zeit, in der sich die Sicherheit von Software und Lieferketten grundlegend ver\u00e4ndert Die Linux Foundation, die Joint Development Foundation und die SPDX-Community haben heute bekannt gegeben, dass die Software Package Data Exchange\u00ae (SPDX\u00ae)-Spezifikation als ISO\/IEC 5962:2021 (https:\/\/c212.net\/c\/link\/?t=0&l=de&o=3283684-1&h=4096035026&u=https%3A%2F%2Fc212.net%2Fc%2Flink%2F%3Ft%3D0%26l%3Den%26o%3D3283684-1%26h%3D1120003021%26u%3Dhttps%253A%252F%252Fwww.iso.org%252Fstandard%252F81870.html%26a%3DISO%252FIEC%2B5962%253A2021&a=ISO%2FIEC+5962%3A2021) ver\u00f6ffentlicht und als internationaler offener Standard f\u00fcr Sicherheit, Lizenzkonformit\u00e4t und andere Artefakte der Software-Lieferkette anerkannt wurde. ISO\/IEC JTC 1 ist ein unabh\u00e4ngiges, nichtstaatliches Normungsgremium. Intel, Microsoft, Siemens, Sony, Synopsys, VMware und WindRiver sind nur eine kleine Auswahl der Unternehmen, die SPDX bereits nutzen, um Software-Bill-of-Materials-Informationen (SBOM) in Richtlinien oder Tools zu kommunizieren und so eine konforme, sichere Entwicklung in globalen Software-Lieferketten zu gew\u00e4hrleisten. „SPDX spielt eine wichtige Rolle beim Aufbau von mehr Vertrauen und Transparenz bei der Erstellung, Verteilung und Nutzung von Software in den Lieferketten. Der \u00dcbergang von einem de-facto-Industriestandard zu einem formalen ISO\/IEC JTC 1-Standard positioniert SPDX f\u00fcr eine drastisch erh\u00f6hte Akzeptanz auf der internationalen B\u00fchne“, sagte Jim Zemlin, Executive Director der Linux Foundation. „SPDX ist nun perfekt positioniert, um die internationalen Anforderungen an die Sicherheit und Integrit\u00e4t von Software in der gesamten Lieferkette zu erf\u00fcllen.“ Zwischen achtzig und neunzig Prozent (80-90 %) einer modernen Anwendung wird aus Open-Source-Software-Komponenten zusammengesetzt. Eine SBOM erfasst die in einer Anwendung enthaltenen Softwarekomponenten – Open Source, propriet\u00e4r oder von Dritten – und beschreibt deren Herkunft, Lizenz und Sicherheitsattribute. SBOMs werden als Teil der bew\u00e4hrten Verfahren verwendet, um Komponenten \u00fcber Software-Lieferketten hinweg zu erfassen und nachzuverfolgen. SBOMs helfen auch dabei, Softwareprobleme und -risiken proaktiv zu erkennen und einen Ausgangspunkt f\u00fcr deren Behebung zu schaffen. SPDX ist das Ergebnis einer zehnj\u00e4hrigen Zusammenarbeit von Vertretern verschiedener Branchen, einschlie\u00dflich der f\u00fchrenden Anbieter von Softwarezusammensetzungsanalysen (Software Composition Analysis, SCA) – und ist damit der solideste, ausgereifteste und am h\u00e4ufigsten verwendete SBOM-Standard. In den letzten zehn Jahren haben sich neue Anwendungsf\u00e4lle in der Software-Lieferkette herausgebildet und die SPDX-Community hat ihre F\u00e4higkeit bewiesen, den Standard zu entwickeln und zu erweitern, um den neuesten Anforderungen gerecht zu werden. Dies zeigt die St\u00e4rke der Zusammenarbeit bei Projekten, die allen Branchen zugutekommen“, so Kate Stewart, Co-Leiterin des SPDX-Technologieteams. „Wir laden alle ein, sich an der Weiterentwicklung von SPDX zu beteiligen und die Software-Lieferkette zu sichern, auch diejenigen, die neue Anwendungsf\u00e4lle haben.“ F\u00fcr weitere Informationen, wie Sie an SPDX teilnehmen und davon profitieren k\u00f6nnen, besuchen Sie bitte: https:\/\/spdx.dev (https:\/\/c212.net\/c\/link\/?t=0&l=de&o=3283684-1&h=3088211172&u=https%3A%2F%2Fc212.net%2Fc%2Flink%2F%3Ft%3D0%26l%3Den%26o%3D3283684-1%26h%3D1832069882%26u%3Dhttps%253A%252F%252Fspdx.dev%252F%26a%3Dhttps%253A%252F%252Fspdx.dev&a=https%3A%2F%2Fspdx.dev). Um mehr dar\u00fcber zu erfahren, wie Unternehmen und Open-Source-Projekte SPDX nutzen, sind Aufzeichnungen der Town Hall „Building Cybersecurity into the Software Supply Chain“, die am 18. August stattfand, unter folgender Adresse verf\u00fcgbar: https:\/\/events.linuxfoundation.org\/supply-chain-town-hall\/ (https:\/\/c212.net\/c\/link\/?t=0&l=de&o=3283684-1&h=3049096448&u=https%3A%2F%2Fc212.net%2Fc%2Flink%2F%3Ft%3D0%26l%3Den%26o%3D3283684-1%26h%3D1504334352%26u%3Dhttps%253A%252F%252Fevents.linuxfoundation.org%252Fsupply-chain-town-hall%252F%26a%3Dhttps%253A%252F%252Fevents.linuxfoundation.org%252Fsupply-chain-town-hall%252F&a=https%3A%2F%2Fevents.linuxfoundation.org%2Fsupply-chain-town-hall%2F) ISO\/IEC JTC 1 ist eine unabh\u00e4ngige, nichtstaatliche internationale Organisation mit Sitz in Genf, Schweiz. Zu ihren Mitgliedern geh\u00f6ren mehr als 165 nationale Normungsgremien mit Experten, die ihr Wissen teilen und freiwillige, konsensbasierte, marktrelevante internationale Normen entwickeln, die Innovationen unterst\u00fctzen und L\u00f6sungen f\u00fcr globale Problematiken bieten. Positive Kommentare Intel „Softwaresicherheit und Vertrauen sind entscheidend f\u00fcr den Erfolg unserer Branche. Intel hat sich schon fr\u00fch an der Entwicklung der SPDX-Spezifikation beteiligt und nutzt SPDX sowohl intern als auch extern f\u00fcr eine Reihe von Softwareanwendungen“, sagte Melissa Evers, Vice President – Software and Advanced Technology Group, General Manager of Strategy to Execution, Intel. Microsoft „Microsoft hat SPDX als bevorzugtes SBOM-Format f\u00fcr die von uns produzierte Software eingef\u00fchrt“, sagt Adrian Diglio, Principal Program Manager of Software Supply Chain Security bei Microsoft. „SPDX-SBOMs erleichtern die Erstellung von SBOMs, die mit der U.S. Presidential Executive Order konform sind, und die Richtung, die SPDX mit dem Design seines Next-Gen-Schemas einschl\u00e4gt, wird dazu beitragen, die Sicherheit der Software-Lieferkette weiter zu verbessern.“ Siemens „Mit ISO\/IEC 5962:2021 haben wir den ersten offiziellen Standard f\u00fcr Metadaten von Softwarepaketen. Es ist nur nat\u00fcrlich, dass SPDX als dieser Standard bestimmt wurde, da es de facto bereits seit einem Jahrzehnt der Standard ist. Dies wird die Einhaltung von Lizenzbestimmungen in der Lieferkette erheblich vereinfachen, insbesondere weil mehrere Open-Source-Tools wie FOSSology, ORT, scancode und sw360 SPDX bereits unterst\u00fctzen“, sagte Oliver Fendt, Senior Manager Open Source bei Siemens. Sony „Das Sony-Team verwendet verschiedene Ans\u00e4tze zur Verwaltung von Open-Source-Compliance und Governance“, sagt Hisashi Tamai, Senior Vice President, Deputy President of R&D Center, Vertreter des Software Strategy Committee, Sony Group Corporation. „Ein Beispiel ist die Verwendung einer OSS-Verwaltungsvorlage, die auf SPDX Lite basiert, einer kompakten Untergruppe des SPDX-Standards. Es ist wichtig, dass die Teams in der Lage sind, Typ, Version und Anforderungen der Software schnell zu \u00fcberpr\u00fcfen, und die Verwendung eines klaren Standards ist ein wichtiger Teil dieses Prozesses.“ Synopsys „Das Black-Duck-Team von Synopsys war seit der Entstehung an SPDX beteiligt, und ich pers\u00f6nlich hatte das Vergn\u00fcgen, die Aktivit\u00e4ten der Projektleitung mehr als ein Jahrzehnt lang zu koordinieren. Vertreter zahlreicher Unternehmen haben zu der wichtigen Arbeit beigetragen, einen Standard f\u00fcr die Beschreibung und Kommunikation des Inhalts eines Softwarepakets zu entwickeln“, so Phil Odence, General Manager, Black Duck Audits. VMware „SPDX ist die wesentliche Gemeinsamkeit zwischen den Tools unter dem Dach von Automating Compliance Tooling (ACT). SPDX erm\u00f6glicht es Tools, die in unterschiedlichen Sprachen und f\u00fcr unterschiedliche Softwareziele geschrieben wurden, Koh\u00e4renz und Interoperabilit\u00e4t bei der SBOM-Erstellung und -Nutzung zu erreichen. SPDX ist nicht nur f\u00fcr die Einhaltung von Vorschriften gedacht; die gut definierte und sich st\u00e4ndig weiterentwickelnde Spezifikation ist auch in der Lage, Auswirkungen auf die Sicherheit und Lieferkette darzustellen. Dies ist unglaublich wichtig f\u00fcr die wachsende Gemeinschaft der SBOM-Tools, da sie darauf abzielen, die Feinheiten moderner Software gr\u00fcndlich abzubilden“, so Rose Judge, ACT TAC Chair und Open Source Engineer bei VMware. Wind River „Das SPDX-Format erleichtert den Austausch von Softwarekomponenten-Daten innerhalb der Lieferkette erheblich. Wind River stellt seinen Kunden seit 8 Jahren eine Software Bill of Materials (SBOM) im SPDX-Format zur Verf\u00fcgung. H\u00e4ufig fordern Kunden SBOM-Daten in einem benutzerdefinierten Format an. Die Standardisierung auf SPDX hat es uns erm\u00f6glicht, eine hochwertigere SBOM zu geringeren Kosten zu liefern“, sagt Mark Gisi, Wind River Open Source Program Office Director und OpenChain Specification Chair. Informationen zu SPDX SPDX ist ein offener Standard f\u00fcr die \u00dcbermittlung von Informationen \u00fcber Software-St\u00fccklisten, einschlie\u00dflich Informationen zu Herkunft, Lizenz, Sicherheit und anderer verwandter Informationen. SPDX reduziert Doppelarbeit durch die Bereitstellung gemeinsamer Formate f\u00fcr Organisationen und Gemeinschaften zum Austausch wichtiger Daten, wodurch die Einhaltung von Vorschriften, die Sicherheit und die Zuverl\u00e4ssigkeit verbessert werden. Weitere Informationen finden Sie unter spdx.org. Die Linux Foundation besitzt eingetragene Warenzeichen und verwendet Warenzeichen. Eine Liste der Warenzeichen der Linux Foundation finden Sie auf unserer Seite „Verwendung von Warenzeichen“: https:\/\/www.linuxfoundation.org\/trademark-usage. Linux ist ein eingetragenes Warenzeichen von Linus Torvalds. Pressekontakt Jennifer Cloer f\u00fcr die Linux Foundation 503-867-2304 jennifer@storychangesculture.com Logo – https:\/\/mma.prnewswire.com\/media\/455385\/The_Linux_Foundation_Logo.jpg (https:\/\/c212.net\/c\/link\/?t=0&l=de&o=3283684-1&h=1271277116&u=https%3A%2F%2Fc212.net%2Fc%2Flink%2F%3Ft%3D0%26l%3Den%26o%3D3283684-1%26h%3D1104412003%26u%3Dhttps%253A%252F%252Fmma.prnewswire.com%252Fmedia%252F455385%252FThe_Linux_Foundation_Logo.jpg%26a%3Dhttps%253A%252F%252Fmma.prnewswire.com%252Fmedia%252F455385%252FThe_Linux_Foundation_Logo.jpg&a=https%3A%2F%2Fmma.prnewswire.com%2Fmedia%2F455385%2FThe_Linux_Foundation_Logo.jpg) Original-Content von: The Linux Foundation, \u00fcbermittelt durch news aktuell<\/p>\n