GEEKS

O que é o padrão SPDX e como ele está ajudando a indústria de instrument? – TI CloudSavvy

Foto de Osmar Queiroz Osmar Queiroz10/03/2022
4 minutos de leitura
Publicidade

[ad_1]

O Troca de dados do pacote de instrument (SPDX) outline um padrão aberto para comunicar informações sobre componentes de instrument. SPDX é usado para criar Listas de listas de materiais de instrument (SBOMs), encapsulam detalhes de licenciamento e direitos autorais e fornecem metadados de pacote, como identificadores de versão e vulnerabilidades conhecidas.

O SPDX foi originalmente projetado há mais de uma década como uma forma de ajudar os desenvolvedores a cumprir as licenças de código aberto. Desde então, ele foi estendido com novos recursos para descrever árvores de dependência e emitir SBOMs. O SPDX foi catapultado para a atenção world em setembro de 2021, quando A ISO reconheceu como o padrão internacional para documentação da cadeia de suprimentos de instrument.

Quem cria o SPDX?

SPDX é um projeto autônomo que é gerenciado pela comunidade Fundação Linux. O padrão atual foi suportado e criado por partes interessadas de toda a indústria de instrument. A lista inclui grandes nomes como Google e Microsoft, bem como os desenvolvedores de ferramentas adjacentes, como Âncora e Snyk.

O SPDX é o culminar da experiência desses fornecedores em gerenciar, documentar e manter cadeias de suprimentos de instrument em escala. O projeto está aberto a participação externa embora – qualquer indivíduo ou empresa que trabalhe com artefatos SPDX pode participar da assembleia geral mensal ou assinar a lista de discussão.

Publicidade

Para que serve o SPDX?

SPDX é uma maneira padrão do setor para descrever pacotes de instrument e suas dependências. Destina-se a funcionar entre fornecedores, linguagens de programação e estruturas. O padrão reduz o esforço envolvido na produção de um SBOM para um projeto, abstraindo as diferenças entre os formatos de pacote e aumentando a interoperabilidade em todo o ecossistema.

SBOMs ainda são um conceito novo para muitos desenvolvedores. Um lugar herbal para começar é nos arquivos de bloqueio do gerenciador de pacotes que você já possui. No entanto, basta copiar e colar seu package deal.json em um arquivo de documentação não é uma solução resiliente. O que acontece quando você também tem um composer.json para seu back-end e um necessities.txt para esse componente Python autônomo? Agora você tem três fontes de pacotes independentes para auditar, verificar a conformidade da licença e obter listas de vulnerabilidades.

O SPDX fornece uma maneira unificada de estruturar, armazenar e consultar essas informações. O especificação outline um formato inequívoco para comunicar os metadados de qualquer pacote de instrument. A chave aqui está nesse vocabulário de “pacote de instrument”: não estamos falando de pacotes NPM ou gem stones Ruby, mas sim de uma visão de alto nível do cenário de desenvolvimento.

Um SPDX definição de pacote inclui dados como nome, versão, autor e licença do componente. Os pacotes podem fazer referência a outros pacotes para definir suas árvores de dependência. O formato também suporta dados em nível de arquivo para descrever o conteúdo de um pacote.

Criando SBOMs compatíveis com SPDX

As ferramentas em torno do SPDX ainda estão surgindo. Um projeto comunitário de destaque é o Package de ferramentas de revisão de instrument de código aberto que pode gerar metadados SPDX a partir dos formatos de gerenciador de pacotes mais comuns. O Abra o Gerador SBOM é uma alternativa mais focada na geração SBOM compatível com SPDX.

Você também encontrará suporte SPDX em muitos geradores de lista de dependências e scanners de vulnerabilidade. Depois de obter um arquivo formatado em SPDX, ele pode ser alimentado em outras ferramentas e bibliotecas para realizar análises adicionais.

O Projeto SPDX está em desenvolvimento Bibliotecas de cliente SPDX para Java, Python, Cross e JavaScript. Isso facilitará o consumo de dados SPDX em seus próprios aplicativos. Há também um native na rede Web que oferece funções de análise, validação e comparação SPDX.

Por que isso tudo importa?

Proeminente ataques à cadeia de suprimentos expuseram a fragilidade do desenvolvimento de instrument moderno. É muito fácil acabar com árvores de dependência extensas referenciando dezenas ou centenas de milhares de pacotes distintos. Uma vulnerabilidade em qualquer um desses pode ameaçar seu aplicativo, mesmo que o código que você mesmo escreveu seja inabalável.

Os desafios das cadeias de suprimentos de instrument foram diretamente referenciados por a ordem executiva dos EUA sobre segurança cibernética em maio de 2021. Agora é imperativo que os mantenedores de código aberto, usuários downstream e organizações orientadas por instrument trabalhem para fornecer mais visibilidade dos componentes que compõem o instrument mundial. Um formato comum para produzir, compartilhar e analisar SBOMs é uma parte importante da solução.

Ter o SPDX acreditado como padrão ISO dá à indústria um ponto de referência coletivo. É uma especificação que poderia ser razoavelmente exigida como uma entrega necessária para futuros projetos de instrument. Agências governamentais, setores regulamentados e clientes preocupados com a segurança podem exigir artefatos SPDX para que possam ser consistentes na forma como auditam e protegem suas cadeias de suprimentos.

A adoção do SPDX entre setores permitiria que as organizações ficassem mais confiantes na segurança do novo instrument que adquirem. Identificando se os sistemas são afetados por vulnerabilidades críticas de dia 0 seria o caso de consultar o SBOM, ao invés de inspecionar manualmente os diversos formatos de gerenciadores de pacotes usados ​​em um projeto.

Embora as primeiras versões do padrão existam há uma década, apenas recentemente a mudança para SBOMs automatizados, conformidade e indexação de dependência começou a ganhar impulso. Tornar-se um padrão ISO pode ser o ponto de inflexão em que os desenvolvedores adotam o SPDX em escala.

Conclusão

SPDX é agora a maneira de definir cadeias de suprimentos de instrument. É um formato projetado do 0 para expressar as relações entre os pacotes de instrument. Ele pode ser usado para produzir uma lista de materiais, validar a conformidade da licença e determinar autoria e propriedade.

Com o escrutínio das cadeias de suprimentos de instrument cada vez mais intenso, o ecossistema SPDX é algo que desenvolvedores, equipes de operações e até mesmo equipes jurídicas podem esperar ver muito mais nos próximos anos. Ele fornece uma maneira de navegar pelos relacionamentos entre os componentes de instrument e as restrições impostas ao seu uso.

Ter uma maneira padronizada de fornecer essas informações dá à indústria algo específico para buscar ao criar SBOMs e auditar cadeias de suprimentos. O SPDX aborda a ambiguidade que prevaleceu até hoje, oferecendo um formato de catalogação testado e robusto para substituir índices e planilhas de pacotes específicos da organização.

[ad_2]

Fonte da Notícia

Publicidade
Etiquetas
Foto de Osmar Queiroz Osmar Queiroz10/03/2022
4 minutos de leitura
Foto de Osmar Queiroz

Osmar Queiroz

Osmar é um editor especializado em tecnologia, com anos de experiência em comunicação digital e produção de conteúdo voltado para inovação, ciência e tecnologia.

Artigos relacionados

O que são baterias EV de estado sólido? – Revisão Geek

O que são baterias EV de estado sólido? – Revisão Geek

02/07/2022
Um homem em alta velocidade em sua bicicleta aprende da maneira mais difícil que os touros não são amigáveis

Um homem em alta velocidade em sua bicicleta aprende da maneira mais difícil que os touros não são amigáveis

14/02/2022
Como limpar corretamente seus óculos como se fossem lentes de câmera delicadas

Como limpar corretamente seus óculos como se fossem lentes de câmera delicadas

13/07/2022
Assista: Badger trota despreocupadamente atrás de cães que estão avisando para ficar longe

Assista: Badger trota despreocupadamente atrás de cães que estão avisando para ficar longe

10/05/2022
Botão Voltar ao topo
HexTec News