SPDX仕様をISO/IEC JTC 1に提出 ー JDFが国際審査に提出する2番目の仕様

オープンソースを通じた大規模イノベーションの実現に取り組む非営利団体であるLinux Foundationは6月29日 (現地時間)、バーチャルイベントとして開催中のOpen Source Summit + Embedded Linux Conference North America 2020において、最新のSPDXリリース (バージョン2.2) がJoint Development Foundation (JDF) を通じてISO/IEC JTC 1に提出された2番目の仕様であることを発表しました。

2019年にLinux Foundationファミリーの一員となったJoint Development Foundation (JDF https://www.jointdevelopment.org/ ) は先月、ISO/IEC JTC 1 PAS (“Publicly Available Specification”) Submitter (ISO/IEC第1合同技術委員会 公開仕様書提出者) として認定されました ( https://www.linuxfoundation.jp/blog/2020/05/joint-development-foundation-recognized-as-an-iso-iec-jtc-1-pas-submitter-and-submits-openchain-for-international-review/ ) 。この認定によりLinux Foundationは、国の機関の承認および国際的な承認を得るために、仕様をJTC 1に提出することができます。JTC 1がPAS提出を承認すると国際標準になります。 またJDFは5月、OpenChain仕様がJTC 1の国際標準としての審査を受けるために提出された最初の仕様であることを発表しました ( https://www.linuxfoundation.jp/press-release/2020/05/joint-development-foundation-adds-a-path-for-formal-international-standardization/ ) 。

Linux Foundationは本日、最新のSPDXリリース (バージョン2.2 https://www.linuxfoundation.org/blog/2020/05/spdx-2-2-specification-released/ ) がJDFを通じてISO/IEC JTC 1に提出された2番目の仕様であることを発表しました。SPDX (Software Package Data Exchange https://spdx.dev/ ) を簡潔に説明すると、コンポーネント、ライセンス、著作権、セキュリティ リファレンスなど、ソフトウェアの部品表情報を伝えるためのオープンスタンダードです。SPDXは、企業やコミュニティが重要なデータを共有するための共通フォーマットを提供することで、冗長な作業を削減し、コンプライアンスの合理化と向上を実現します。SPDX仕様の最初のバージョンは10年前でしたが、その後も長年にわたりより多くのソフトウェア部品表情報の自動化をサポートするために改良と進化を続けてきました。

SPDXは、セキュリティとコンプライアンスの観点から重要なソフトウェア部品表情報のメタデータの正確性を検証する役割を果たします。何百万ものオープンソース ソフトウェア プロジェクト (GitHubだけでも3,400万ものオープンリポジトリ https://github.com/search?q=is:public ) が存在し、どれが最も重要で、誰が作成し、セキュリティ上の脆弱性が何かを知ることは難しいと考えられます。SPDXは、ソフトウェアの作成、配布、消費の方法における信頼と透明性を高める上で重要な役割を果たします。 多くの人がSPDXをすでにデファクトスタンダードと考えていますが、JTC1の承認は世界規模での採用を加速させます。

Linux Foundation のエグゼクティブ ディレクターであるJim Zemlinは、次のように述べています。
「SPDX仕様は、オープンソースの採用を可能にし、コンプライアンスを自動化するための基盤を確立する上で、過去10年間にわたり重要な役割を果たしてきました。JDFによるISO/IEC JTC 1への提出により、企業のコンプライアンス上のリスクとコストを軽減しながらオープンソース メタデータ情報の共有方法に対処する承認された国際標準になることを期待しています。」

企業プレスリリース詳細へ
PR TIMESトップへ