以前、SBOM (Software Bill of Materials:ソフトウェア部品表)について、紹介しました。SBOM については、今後日本政府においても、導入決定するとの報道がなされています。
しかし、SBOM に対応しようとしても、さまざまな企業と協力して、取り組みを進めるには、必要な情報を整理し、それらの情報を共有するための標準仕様が必要となります。
そこで Linux Foundation、Joint Development Foundation、および SPDXコミュニティが協力し、Software Package Data Exchange (SPDX) という仕様を策定しました。SPDX は ISO/IEC 5962:2021 として承認され、国際的なオープン標準となりました。
Intel、Microsoft、Siemens、ソニー、Synopsys、VMware、WinDriveR などは、すでに SPDX を使用してポリシーやツールで SBOM情報をやりとりしているそうです。
| 参考リンク |
|---|