El mes pasado, la Fundación de Desarrollo Conjunto ( JDF ), que se convirtió en parte de la familia de la Fundación Linux en 2019, fue reconocida como presentadora ISO / IEC JTC 1 PAS ("Especificación disponible públicamente"). Con ese reconocimiento, Linux Foundation puede presentar especificaciones a JTC 1 para aprobación de organismos nacionales y reconocimiento internacional. Una vez que JTC 1 aprueba una presentación de PAS, se convierte en un estándar internacional. También en mayo, el JDF anunció que The OpenChain Specification fue la primera especificación presentada para la revisión de JTC 1 para su reconocimiento como estándar internacional.
La Fundación Linux anunció hoy que la última versión de SPDX ( versión 2.2 ) es la segunda especificación que se envía a través del JDF a ISO / IEC JTC 1 para su aprobación. En resumen, el intercambio de datos de paquetes de software (SPDX) es un estándar abierto para comunicar información de la lista de materiales de software, incluidos componentes, licencias, derechos de autor y referencias de seguridad. SPDX reduce el trabajo redundante al proporcionar un formato común para que las empresas y las comunidades compartan datos importantes, agilizando y mejorando el cumplimiento. La primera versión de la especificación SPDX fue hace 10 años, y ha seguido mejorando y evolucionando para admitir la automatización de más información de listas de materiales de software a lo largo de los años.
SPDX sirve para verificar la precisión de los metadatos de información de la lista de materiales del software, lo cual es importante tanto desde el punto de vista de la seguridad como del cumplimiento. Tenga en cuenta que hay millones de proyectos de software de código abierto ( 34 millones de repositorios abiertos están solo en GitHub ), lo que dificulta saber cuáles son los más críticos, quién los creó y cuáles son sus vulnerabilidades de seguridad. SPDX juega un papel importante en la construcción de más confianza y transparencia en la forma en que se crea, distribuye y consume el software. Si bien muchos consideran que SPDX es un estándar de facto, la certificación JTC1 fomentará la adopción y aceptación aceleradas a escala global.
"La especificación SPDX ha jugado un papel vital en los últimos 10 años al permitir la adopción de código abierto y establecer una base para automatizar el cumplimiento", dijo Jim Zemlin. "Mediante la presentación al ISO / IEC JTC 1 por parte de JDF, esperamos que pueda convertirse en un estándar internacional aceptado que aborde cómo se comparte la información de metadatos de código abierto, al tiempo que reduce los riesgos y los costos de cumplimiento para las organizaciones".
La especificación posterior a SPDX se convierte en la segunda presentación ISO / IEC JTC 1 de JDF apareció primero en The Linux Foundation .