SPDX仕様をISO/IEC JTC 1に提出 ー JDFが国際審査に提出する2番目の仕様

By 6月 29, 2020Blog

2019年にLinux Foundationファミリーの一員となったJoint Development Foundation (JDF) は先月、ISO/IEC JTC 1 PAS (“Publicly Available Specification”) Submitter (ISO/IEC第1合同技術委員会 公開仕様書提出者) として認定されました。この認定によりLinux Foundationは、国の機関の承認および国際的な承認を得るために、仕様をJTC 1に提出することができます。JTC 1がPAS提出を承認すると国際標準になります。 またJDFは5月、OpenChain仕様がJTC 1の国際標準としての審査を受けるために提出された最初の仕様であることを発表しました。

Linux Foundationは本日、最新のSPDXリリース (バージョン2.2) がJDFを通じてISO/IEC JTC 1に提出された2番目の仕様であることを発表しました。SPDX (Software Package Data Exchange) を簡潔に説明すると、コンポーネント、ライセンス、著作権、セキュリティ リファレンスなど、ソフトウェアの部品表情報を伝えるためのオープンスタンダードです。SPDXは、企業やコミュニティが重要なデータを共有するための共通フォーマットを提供することで、冗長な作業を削減し、コンプライアンスの合理化と向上を実現します。SPDX仕様の最初のバージョンは10年前でしたが、その後も長年にわたりより多くのソフトウェア部品表情報の自動化をサポートするために改良と進化を続けてきました。

SPDXは、セキュリティとコンプライアンスの観点から重要なソフトウェア部品表情報のメタデータの正確性を検証する役割を果たします。何百万ものオープンソース ソフトウェア プロジェクト (GitHubだけでも3,400万ものオープンリポジトリ) が存在し、どれが最も重要で、誰が作成し、セキュリティ上の脆弱性が何かを知ることは難しいと考えられます。SPDXは、ソフトウェアの作成、配布、消費の方法における信頼と透明性を高める上で重要な役割を果たします。 多くの人がSPDXをすでにデファクトスタンダードと考えていますが、JTC1の承認は世界規模での採用を加速させます。

Linux Foundation のエグゼクティブ ディレクターであるJim Zemlinは、次のように述べています。
「SPDX仕様は、オープンソースの採用を可能にし、コンプライアンスを自動化するための基盤を確立する上で、過去10年間にわたり重要な役割を果たしてきました。JDFによるISO/IEC JTC 1への提出により、企業のコンプライアンス上のリスクとコストを軽減しながらオープンソース メタデータ情報の共有方法に対処する承認された国際標準になることを期待しています。」

The Linux Foundation
Follow Us