Golang: como escrever um loop For
17 de abril de 2024Respostas às 5 perguntas mais comuns sobre otimização de custos na nuvem
17 de abril de 2024SEATTLE — SPDX, o padrão aberto para Lista de Materiais de “Sistema”, dá um grande passo à frente.
Durante anos, precisávamos de uma forma padrão para as empresas padronizarem suas licenças e informações de componentes (metadados) em listas de materiais de software (SBOM) para facilitar a descoberta e rotulagem de componentes de código aberto em seus produtos.
A resposta para esse problema é o Software Package Data Exchange (SPDX), também conhecido como padrão da International Standards Organization (ISO): ISO/IEC 5962:2021. Agora, no Open Source Summit North America em Seattle, a versão mais recente, SPDX 3.0, apareceu.
“Foi um trabalho árduo de seis anos, mas o SPDX agora estabelece não apenas o formato para uma lista de materiais de software, mas para tudo”, disse Bob Martin, principal engenheiro sênior de software e garantia da cadeia de suprimentos da Mitre Corporation.
Assim, daqui para frente, o SPDX será agora chamado de System Package Data Exchange – indicando sua utilidade além do software.
Como o novo System Package Data Exchange abrange “tudo”? Adicionando perfis SPDX. Ele começa com um perfil SPDX principal que inclui todos os programas, projetos de hardware, IA, software como serviço, entre outros. Acima estão perfis para metadados adicionais para segurança, licenciamento e informações de construção.
SPDX tornou-se muito mais útil com perfis SPDX. Ele oferece subconjuntos de informações ajustadas para casos de uso populares, como segurança, licenciamento preciso, treinamento de modelos de IA e muito mais. Esta melhoria agiliza o uso do SPDX, capacitando as partes interessadas nos setores de desenvolvimento, segurança, ciência de dados e jurídico.
Se isso parece ótimo, mas complicado, bem, você está certo. Para facilitar o funcionamento do SPDX 3.0, ele inclui modelos de perfil prontos para uso. Isto simplificará a adoção e implementação para desenvolvedores e usuários finais.
Buscando adoção por desenvolvedores
O GitHub também está se esforçando para facilitar sua adoção pelos programadores. “Adicionamos exportações SPDX ao gráfico de dependência do GitHub para facilitar o cumprimento dos requisitos regulatórios pelos desenvolvedores e, em resposta, vimos uma adoção entusiástica da comunidade”, disse Justin Hutchings, diretor sênior de gerenciamento de produtos do GitHub.
“Aumentar a transparência na cadeia de fornecimento de software é uma base importante para a construção de um mundo mais seguro.”
Isso é importante porque o SPDX não é apenas uma boa ideia; é a lei – pelo menos nos Estados Unidos. A Ordem Executiva 14028 exige um “registro formal contendo os detalhes e as relações da cadeia de suprimentos de vários componentes usados na construção de software”, semelhante aos rótulos de ingredientes alimentícios nas embalagens. Resumindo, um SBOM.
Um SBOM não precisa usar SPDX. Existem outros formatos SBOM padrão, como CycloneDX e Common Platform Enumeration (CPE). No entanto, como um padrão ISO e com perfis que estendem o SPDX a essencialmente qualquer plataforma ou processo, o SPDX parece ser uma aposta segura para se tornar o padrão dominante.
Como disse Melissa Evers, vice-presidente do grupo de software e tecnologia avançada da Intel: “A Intel adota padrões internacionais abertos que ajudam a fornecer transparência e divulgação de informações de segurança, em conformidade com regulamentações emergentes.
“O lançamento da versão 3 do SPDX é um marco importante, pois seu design modular permite o registro de múltiplas facetas de informações sobre componentes de software, incluindo segurança e licenciamento.”
Com o apoio de inúmeras outras empresas e organizações de software e segurança, parece uma aposta certa que o SPDX 3.0 será o padrão SBOM nos próximos anos.
A postagem Conheça o System Package Data Exchange: SPDX 3.0, com Profiles apareceu pela primeira vez em The New Stack.