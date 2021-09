SPDX, das von vielen der weltweit größten Unternehmen seit mehr als einem Jahrzehnt unterstützt wird, wird offiziell zum international anerkannten ISO/IEC JTC 1-Standard - und das in einer Zeit, in der sich die Sicherheit von Software und Lieferketten grundlegend verändert

Intel, Microsoft, Siemens, Sony, Synopsys, VMware und WindRiver sind nur eine kleine Auswahl der Unternehmen, die SPDX bereits nutzen, um Software-Bill-of-Materials-Informationen (SBOM) in Richtlinien oder Tools zu kommunizieren und so eine konforme, sichere Entwicklung in globalen Software-Lieferketten zu gewährleisten.

„SPDX spielt eine wichtige Rolle beim Aufbau von mehr Vertrauen und Transparenz bei der Erstellung, Verteilung und Nutzung von Software in den Lieferketten. Der Übergang von einem de-facto-Industriestandard zu einem formalen ISO/IEC JTC 1-Standard positioniert SPDX für eine drastisch erhöhte Akzeptanz auf der internationalen Bühne", sagte Jim Zemlin, Executive Director der Linux Foundation. „SPDX ist nun perfekt positioniert, um die internationalen Anforderungen an die Sicherheit und Integrität von Software in der gesamten Lieferkette zu erfüllen."

Zwischen achtzig und neunzig Prozent (80-90 %) einer modernen Anwendung wird aus Open-Source-Software-Komponenten zusammengesetzt. Eine SBOM erfasst die in einer Anwendung enthaltenen Softwarekomponenten - Open Source, proprietär oder von Dritten - und beschreibt deren Herkunft, Lizenz und Sicherheitsattribute. SBOMs werden als Teil der bewährten Verfahren verwendet, um Komponenten über Software-Lieferketten hinweg zu erfassen und nachzuverfolgen. SBOMs helfen auch dabei, Softwareprobleme und -risiken proaktiv zu erkennen und einen Ausgangspunkt für deren Behebung zu schaffen.