| 导读 | 开源安全基金会 (OpenSSF) 在欧洲开源峰会上宣布,他们已拥有实施 SBOM Everywhere 所需的资金,计划将软件材料清单 (SBOM) 引入所有编程语言和框架,首先是 Python。 |
其目标是提高所有开源软件的弹性和安全性。而它向着 SBOM 成功迈出的第一步就是,资助软件包数据交换 (SPDX) Python 库的工作。该项目的工作于 9 月 1 日开始。
根据介绍,SPDX 是描述 SBOM 的 ISO 标准。虽然 Python 已经有一个 SPDX 库,但由于缺乏支持,它已经过时了。Anchore 安全副总裁兼 Kate Stewart SPDX 技术主管 Josh Bressers 解释称:“SPDX python 库需要更新,以使其与更现代的 SPDX 版本保持一致;并将代码变成更易于维护的东西,以减小社区贡献难度。SPDX python 库没有具备适当技能或资金的志愿者来完成这项工作。然而,OpenSSF 确实有可以实现这一目标的资金。”
一旦完成,为任何 Python 程序创建 SBOM 将会容易得多。反之,这也将加强你的代码安全。
OpenSSF 方面表示,为代码改进付费并不意味着他们将控制 SPDX Python 库,这不是他们的目的所在;相关的领导决策权仍在 Python 软件基金会和创始人 / 主席 Guido van Rossum 手中。OpenSSF 此举的原因在于,保护所有开源软件的工作 “不仅仅是 OpenSSF,而且将使得整个开源社区受益。”
OpenSSF 总经理 Brian Behlendorf 表示,很快将会有更多语言获得所需的支持,将 SBOM 作为其管理开发管道的组成部分添加。但这一过程需要时间,预计不能很快到来。
原文来自:https://www.oschina.net/news/210804/openssf-brings-sbom-and-sdpx-to-python
本文地址:https://www.linuxprobe.com/openssf-sbom-sdpx.html编辑:向金平,审核员:清蒸github
Linux命令大全:https://www.linuxcool.com/
Linux系统大全:https://www.linuxdown.com/
红帽认证RHCE考试心得:https://www.rhce.net/