SPDXがソフトウエア部品表の国際的に認められた規格に

The Linux Foundation、Joint Development Foundation、SPDXコミュニティーは9月10日、Software Package Data Exchange(SPDX)仕様がISO/IEC 5962:2021として公示され、セキュリティー、ライセンスコンプライアンス、その他のソフトウエアサプライチェーン・アーティファクトの国際的なオープンスタンダードとして認められたと発表した。ISO/IEC JTC 1は、独立した非政府標準化団体である。
(FIGURE:SPDXのウェブサイトより)

 SPDXは、出所、ライセンス、セキュリティー、その他の関連情報を含むソフトウエア部品表情報を伝達するためのオープンスタンダードである。SPDXは、企業やコミュニティーが重要データを共有するための共通フォーマットを提供することで余分な作業を削減、コンプライアンス、セキュリティー、信頼性を効率化し向上させる。

 インテル、マイクロソフト、シーメンス、ソニー、シノプシス、VMware、ウインドリバーは、既にSPDXを使用してソフトウエア部品表(SBOM)情報をポリシーやツールでやり取りし、グローバルなソフトウエアサプライチェーンでのコンプライアンスや安全な開発を実現している企業のほんの一例である。

 The Linux Foundationのエグゼクティブディレクター・Jim Zemlin氏は「SPDXは、作成、流通から消費までソフトウエアのサプライチェーン全体における信頼性、透明性の向上に重要な役割を果たしている。事実上の業界標準からISO/IEC JTC 1規格に移行したことで、グローバルな舞台でSPDXの採用が飛躍的に増えるだろう。SPDXはようやく、サプライチェーン全体でソフトウエアのセキュリティーと完全性の国際的要件をサポートする適所に収まった」と語った。

 最近のアプリケーションの80-90%は、オープンソースのソフトウエア部品でつくられている。SBOMは、オープンソース、プロプライエタリー、サードパーティーなど、アプリケーションに含まれるソフトウエア部品を特定し、その出所、ライセンス、セキュリティー属性を詳細に示す。SBOMは、ソフトウエアサプライチェーン全体で部品を追跡する基本的作業の一環として使用される。SBOMは、ソフトウエアの問題やリスクを事前に特定し、その修正の出発点を決めるのにも役立つ。

 SPDXは、ソフトウエア・コンポジション解析(SCA)の主要ベンダーを含む各業界の代表の10年にわたる協力の結果、最も堅ろうで成熟したSBOM規格として採用された。

 SPDX技術チームの共同リード、Kate Stewart氏は「過去10年間、ソフトウエアのサプライチェーンには新たなユースケースが登場してきたが、SPDXコミュニティーは、規格を進化、拡張することで最新の要求に応える能力があることを実証してきた。あらゆる業界にメリットをもたらす作業で、コラボレーションの力を見せつけた形だ。SPDXは、オープンコミュニティーの情報によって進化し続けていく。そして、新たなユースケースを有する人を含め、全ての人にSPDXの進化とソフトウエアサプライチェーンの安全確保に参加してもらいたい」と語った。

 インテルのMelissa Evers氏(ソフトウエア・先端技術グループ・バイスプレジデント兼戦略実行ゼネラルマネジャー)は「ソフトウエアのセキュリティーと信頼性は、わが業界の成功に不可欠だ。インテルは、SPDX仕様の開発に早くから参加、社内外の多くのソフトウエアのユースケースでSPDXを活用している」と語った。

 マイクロソフトのAdrian Diglio氏(ソフトウエアサプライチェーン・セキュリティー主任プログラムマネージャー)は「マイクロソフトは、当社製ソフトウエアのSBOMフォーマットとしてSPDXを採用している。SPDX SBOMは、米大統領令に準拠したSBOM作成を容易にしてくれる。また、SPDXの次世代スキーマ設計の方向性は、ソフトウエアサプライチェーンのさらなるセキュリティー向上に役立つだろう」と語った。

シーメンスのOliver Fendt氏(オープンソース・シニアマネージャー)は「ISO/IEC 5962:2021には、ソフトウエアパッケージのメタデータに関する初の公式規格が採用された。10年間、事実上の業界標準だったSPDXの公式規格採用は当然だ。特にFOSSology、ORT、scancode、sw360などいくつかのオープンソース・ツールは既にSPDXをサポートしているため、サプライチェーン内のライセンスコンプライアンスがはるかに容易になるだろう」と語った。

 ソニーグループ株式会社の執行役員でR&Dセンター副センター長の玉井久視氏は「ソニーでは、オープンソースのコンプライアンスやガバナンスの管理にさまざまな手法を採用している。その一例が、SPDX規格のコンパクトなサブセットSPDX LiteをベースにしたOSS管理テンプレートシートの使用だ。当社にとって、ソフトウエアの種類、バージョン、要件を素早く確認できることが重要で、明確な規格の採用はこのプロセスの重要部分だ」と語った。

 Black Duck監査のPhil Odence氏(ゼネラルマネジャー)は「シノプシスのBlack Duckチームは、SPDXの始動当初から参加しており、私自身も10年以上にわたってプロジェクトのリーダーの活動をコーディネートさせてもらった。ソフトウエアパッケージの内容を説明・伝達する標準的方法の開発という重要な仕事に、数多くの企業の代表が貢献してきた」と語った。

 VMwareのオープンソースエンジニアで自動コンプライアンス・ツーリングTAC委員長のRose Judge氏は「SPDXは、自動コンプライアンス・ツーリング(ACT)傘下のツールに不可欠な共通要素だ。SPDXは、異なる言語、異なるソフトウエアターゲットで書かれたツールが、SBOMの作成と消費に関して一貫性と相互運用性を発揮できるようにする。SPDXは、コンプライアンスのためだけのものではなく、セキュリティーやサプライチェーンにも影響を与えることができるよう決められた仕様は、絶えず進化している。これは、現代のソフトウエアの複雑さの徹底的な説明を目指すSBOMツールコミュニティーにとって非常に重要だ」と語った。

 ウインドリバーのオープンソースプログラム室長でOpenChain仕様リーダーのMark Gisi氏は「SPDXフォーマットは、サプライチェーン全体でのソフトウエア部品データの共有を大幅に促進する。ウインドリバーは過去8年間、SPDXフォーマットを使い、ソフトウエア部品表(SBOM)を顧客に提供してきた。顧客がカスタムフォーマットでSBOMデータを要求してくることも多い。SPDXが標準化されたことで、より高品質なSBOMを低コストで提供できるようになった」と語った。

著者プロフィール

Motor Fan illustrated編集部 近影

Motor Fan illustrated編集部