新思科技助力SPDX项目落地

近日，SPDX正式成为国际认可的软件物料清单标准。新思科技在内的众多公司已经使用SPDX在政策或工具中传达软件材料清单（SBOM）信息，以确保在全球软件供应链中实现合规和安全开发。

Linux基金会、联合开发基金会(Joint Development Foundation)和SPDX社区近日宣布，Software Package Data Exchange®(SPDX®)规范作为ISO/IEC 5962:2021发布，被认定为安全性、许可合规和其他软件供应链构件领域的国际开放标准。ISO/IEC JTC 1是一个独立的非政府标准机构。

包括新思科技在内的众多公司已经使用SPDX在政策或工具中传达软件材料清单(SBOM)信息，以确保在全球软件供应链中实现合规和安全开发。SBOM表示出应用程序中包含的软件组件（开源、专有或第三方），并详细说明其来源、许可和安全属性。SBOM被用作跨软件供应链跟踪和追踪组件的基本惯例做法的一部分。SBOM还有助于主动识别软件问题和风险，并为其补救建立一个起点。

SPDX是包括领先的软件组件分析(CAS)供应商在内的各行业代表机构十年合作的结果，这使其成为最强大、最成熟且最为广泛采用的SBOM标准。

新思科技Black Duck 审计总经理Phil Odence表示：“新思科技Black Duck团队从一开始就参与SPDX项目，我本人有幸在十多年的时间里负责协调该项目的领导工作。来自数十家公司的代表为制定描述和传达软件包内容的标准方法这项重要工作做出了贡献。”

新思科技《2021年开源安全和风险分析》报告（OSSRA）显示98%的代码库包含开源代码；84%的代码库至少有一个漏洞，每个代码库平均有158个漏洞。该报告由新思科技网络安全研究中心（CyRC）制作，研究了由Black Duck®审计服务团队执行的对超过1,500个商业代码库的审计结果。

新思科技开源专家王永雷介绍道：“BOM (物料清单)的概念来自制造业，传统BOM(物料清单)是详细列出产品组成的物资明细。当发现缺陷零件时，制造商可以准确地知道哪个产品受到了影响，以便安排修理或更换。现在，开源BOM(开源软件物料清单)需求已经开始呈现出增长态势。新思科技的开源管理工具Black Duck完全兼容SPDX的标准，利用BlackDuck可以创建和管理企业级的上下游软件供应链的完整的（特定版本和许可证等）BOM（开源软件物料清单）。”

软件组成分析是新思科技很重要的一块业务。Black Duck 的多因素开源检测和超过 400 万个组件的知识库为用户提供适用于任何应用或容器的准确物料清单。

点击链接获得更多SBOM信息，了解如何在应用和容器中预防并管理开源风险。