SPDX 3.0内容初探

最新推荐文章于 2024-06-22 09:49:59 发布
最新推荐文章于 2024-06-22 09:49:59 发布
阅读量225 收藏
点赞数
文章标签: 开源 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qzt961003/article/details/132560905
版权

SPDX 3.0(广泛使用的 SPDX 材料清单规范的一个新版本)正在开发中,预计将在现有版本2.3的基础上进行几项重大改动。

其中包括引入新的“配置文件(profiles)”,旨在更好地服务于特定的 SBOM 用例,如开源许可遵从性和安全性,以及新兴的 SBOM 场景,如 AI 和数据。概要文件还可以用来为软件构建过程提供更高的透明度。此外,与当前的2.3相比,SPDX 3.0文档将具有不同的结构和更大的内置灵活性。

SPDX 3.0 Profiles

从遵从开放源码许可证到安全性以及两者之间的大量内容,存在着各种各样的常见 SBOM 用例(而且这种情况还在不断增加)。当然,并不是每个组织或团队都有创建或使用 SPDX 文档的相同目的。

例如,一个内部的法律团队可能比人工智能模型的细微差别更关心许可证问题。安全团队可能会特别感兴趣的漏洞可利用性信息,如 VEX等等。

概要文件允许软件供应商为他们和他们的客户最关心的用例生产更简单和更定制的 SPDX SBOM。

在 SPDX 3.0中有六个新的配置文件:

许可Licensing: 这个概要文件包含了来自当前 SPDX 2.3的许多与许可相关的数据字段,但是做了一些调整。例如,预计 SPDX 3.0许可配置文件将添加一个“自定义异常”数据字段。(许可证异常“授予许可证条件的异常或超出许可证中授予的额外权限。”当前的 SPDX 2.3有一个已定义的异常列表。)

安全Security: 安全性配置文件包括链接到外部安全性文档的字段,如 CSAF (公共安全咨询框架(Common Security Advisory Framework,CSAF)和 CVE。该提案还增加了嵌入某些最小元素的能力,以传达安全信息,如 VEX (漏洞可利用性 eXchange)状态理由(即,如果一个产品被认为不受漏洞的影响,解释为什么是这种情况)。

构建配置文件Build profile: 这包括与软件构建相关的数据字段。它涵盖了构建配置文件和构建类型(调用构建时使用的工具或基础设施)等领域。构建配置文件提供了验证软件构建来源的必要信息,并确保所提供的软件是它声称的那个软件。

人工智能AI: 人工智能简介旨在传达“对人工智能应用和模型有用”的信息在提议的 AI 配置文件中可用的新数据字段的例子包括“敏感个人信息”、“能源消耗”和“数据预处理步骤”等。

数据集概要Dataset Profile: 这个概要旨在交流关于“用于软件或训练/测试 AI 软件包”的数据集的信息建议的配置文件包括诸如“数据集类型”(如图像、文本或多模态)、“数据集大小”(以字节为单位)和“数据集可用性”(数据集是否可供公众下载或在表单后关闭)等字段。

使用情况Usage Profile: 并非每一个软件的片段或版本都是为了普遍可用性。使用概要文件旨在帮助生产者区分不同阶段的软件,例如设计、原型和测试。

SPDX 3.0的其他变化

虽然新增的配置文件是 SPDX 3.0的亮点之一,但它并不是 SPDX 2.3的唯一变化。下面我们来看看其他一些主要的不同之处。

1.文件结构

在 SPDX 3.0中引入新的概要文件将与一个新的所需数据字段相一致,该字段用于交流 SBOM 描述的概要文件。

SPDX 3.0的结构是这样的: 这些新概要文件堆叠在 SPDX 核心模型(包括文档创建信息等基础数据字段)之上,在许多情况下还包括 SPDX 软件概要文件。(软件配置文件包括熟悉的数据字段,如软件包版本、软件包 URL、声明的许可证和总结的许可证等。)

SPDX 3.0文档必须包含 Core Model,并且可能包含软件配置文件,但是其他用例特定的配置文件是可选的。换句话说,一个 SPDX 3.0 SBOM 的结构如下:

核心模型: 必需;

软件配置文件: 不是必需的,但是推荐给绝大多数 SBOM;

其他配置文件: 根据需要使用。

2.SPDX关系

SPDX 关系是描述元素之间相互关系的一种方式。例如,一个包可能是另一个包的依赖项。

在 SPDX 2.3中,元素(包、文件或代码片段)包含与其他元素的关系列表。如果要添加、删除或修改关系,则必须创建元素的新版本。另外,关系和包含关系的元素必须包含在同一个 SPDX 文档中。

在 SPDX 3.0中,关系将是它自己的元素,而不是另一个元素的属性。这允许您添加新的关系,而不必替换原始元素。您还可以创建一个新的、单独的“文档”,该文档在以前定义的元素之间引入新的关系ーー这是对现有 SBOM 进行额外分析时的常见场景。

3.灵活性

在当前的 SPDX 2.3中,生产者被要求包括 SBOM 文档中的所有元素来传输它。当然,如果您将 SBOM 更新作为大型自动化构建系统的一部分来提供,那么这可能会变得非常耗费资源。SPDX 3.0将使 SBOM 生产者能够提供非常细粒度的信息,包括单个元素。

SPDX 3.0候选发行版(Release Candidate)已于2023年5月8日在温哥华正式发布,这对于 SPDX 项目来说是一个重要的里程碑。SPDX 3.0的目标是将 SPDX 标准扩展到新用例中,使软件工程师、安全专业人员、法律和法规遵循专业人员更容易登录和使用。随着美国政府(EO 14028)和欧盟(Cyber Resiliency Act)最近推动软件依赖和供应链安全,显然需要一个可操作和可用的国际标准。SPDX 3.0旨在成为这样的标准,并作为支撑软件供应链和依赖链透明度和安全性的工具包。

更多资讯wx【泛联新安软件安全实验室】

原文链接:

https://www.codeant.cn/industry_detail?id=09bf1ed0db8b4a57b4010c4a10223fb9

GitMore
关注
SPDX消除了对软件许可证的困惑
cumo3681的博客
06-29 3721
每年大约这个时候 ,我们的想法都转向版权。 也许他们更多地转向版权。 毕竟,开放源代码作品是基于版权法的。 您可能已经知道,版权法赋予作品的作者专有权(包括其他权利)复制其作品。 一旦将作品固定在有形媒体中(记录下来,保存到磁盘等),这些权利即会附加。 因此,开源许可证授予的权利取决于版权法。 但是具体授予了哪些权利? 这取决于开发人员选择哪种许可证。 大多数项目使用少数几个标准许可证之一...
构建开源供应链安全的软件物料清单(SBOM)
qzt961003的博客
07-08 1694
今天,开发人员频繁的在开源软件库的基础上构建web 应用程序。然而,尽管这些库构成了软件物料清单(SBOM)组件库,但并非所有开发人员和业务涉及者都理解第三方库对开源供应链安全的重大影响。考虑到这一点,我们有必要对此进行详细的探讨。...
「 网络安全常用术语解读 」SBOM主流格式SPDX详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-25 2570
SPDX格式是一种用于描述软件组件的规范,提供了一种标准化的方法来描述软件组件的元数据,包括其许可证、依赖项和其他属性。随着开源和共享软件开发环境的普及,SPDX格式得到了广泛的应用。通过SPDX格式,组织可以更好地了解和管理软件供应链,降低合规风险,提高软件质量,加强安全性。SPDX作为一个开放的标准格式,为软件行业的合作和创新提供了重要的基础。
SPDX规范详解
phmatthaus的专栏
08-15 3350
SPDX规范详解
探索SPDX工具:简化软件合规之旅
最新发布
gitblog_00062的博客
06-22 349
探索SPDX工具:简化软件合规之旅 tools SPDX Tools 项目地址: https://gitcode.com/gh_mirrors/tools31/tools 在日益复杂的软件世界中,版权和许可证...
互联网传媒行业Web3.0初探一个基于区块链技术用户主导去
11-20
互联网传媒行业Web3.0初探一个基于区块链技术用户主导去中心化的网络生态共31页.pdf.zip
Web3.0初探:一个基于区块链技术、用户主导、去中心化的网络生态
10-21
Web3.0初探:一个基于区块链技术、用户主导、去中心化的网络生态.pdf
紫金桥自由报表3.0(RsReport3.0)使用初探
10-19
紫金桥自由报表3.0 (RsReport3.0) 是紫金桥组态软件6.0的重要组件,旨在提供高效便捷的数据展示和处理能力。本文将探讨几个使用紫金桥自由报表的关键应用场景,帮助用户更好地理解和利用这款自动化软件。 首先,...
SBOM实例基础元素分析
qzt961003的博客
10-19 236
有时候,SBOM (软件材料清单)更多的是理论上的,而不是实际的。
如何使用微软的开源工具生成 SBOM
学海无涯苦作舟的博客
10-05 3059
SBOM (软件物料清单)通过列出您的代码所依赖的软件包和供应商来帮助您了解您的软件供应链。SBOM 正迅速获得发展势头,作为在现实世界供应链受到重大攻击后帮助提高安全性的一种方式。SBOM 的主要支持者之一是微软,该公司早在 2021 年 10 月就发布了针对他们这一代的方法。今年早些时候,该公司开源了其用于在 Windows、macOS 和 Linux 上生成 SBOM 的工具。在本文中,您将学习如何开始使用该项目来索引代码的依赖项。它生成与 SPDX 兼容的文档,列出项目中的文件、包和关系。
SPDX-Tools:支持SPDX标准的工具
05-02
概述 软件包数据交换(SPDX)规范是一种标准格式,用于传达与软件包关联的组件,许可证和版权。 这些工具由SPDX工作组发布,请参见 贡献 有关对SPDX工具做出贡献的信息,请参见文件CONTRIBUTING.md。 句法 spdx工具的命令行界面可以这样使用: java -jar spdx-tools-jar-with-dependencies.jar <function> <parameters> SPDX格式转换器 spdx工具提供了以下转换器工具: TagToSpreadsheet TagToRDF RdfToTag 读音 RdfToSpreadsheet SpreadsheetToRDF SpreadsheetToTag 将SPDX文件从标签转换为rdf格式的示例: java -jar spdx-tools-jar-with-dependencies.jar T
spdx-licenses:用于处理SPDX许可证列表和验证许可证的工具
02-25
作曲家/ spdx许可证 SPDX(软件包数据交换)许可证列表和验证库。 最初是作为一部分编写的,现在已提取并作为独立的库提供。 安装 使用以下命令安装最新版本: $ composer require composer/spdx-licenses 基本用法 <?php use Composer \ Spdx \ SpdxLicenses ; $ licenses = new SpdxLicenses (); // get a license by identifier $ licenses -> getLicenseByIdentifier ( 'MIT' ); // get a license exception by identifier $ licenses -> getExceptionByIdentifier ( 'Autoconf-exception-3.0' ); //
cyclonedx-gradle-plugin:从Gradle项目创建CycloneDX软件物料清单(SBOM)
02-04
CycloneDX Gradle插件 CycloneDX Gradle插件创建一个项目的所有直接和传递依赖项的集合,并从结果中创建有效的CycloneDX物料清单文档。 CycloneDX是一种轻量级的BOM规范,易于创建,易于阅读且易于解析。 用法 执行: gradle cyclonedxBom 输出CycloneDX生成信息: gradle cyclonedxBom -info 排除物料清单序列号: gradle cyclonedxBom -Pcyclonedx.includeBomSerialNumber=false build.gradle (节选) plugins {
spdx-online-tools:提供在线SPDX工具的网站的来源
04-01
spdx-在线工具 提供在线SPDX工具的网站的来源。 该工具提供了一个简单的多合一网站,可以上载和解析SPDX文档以进行验证,比较和转换以及搜索SPDX许可证列表。 您可以找到有关该工具工作的更多信息。 特征 上传和解析SPDX文档 验证SPDX文档 比较多个SPDX Rdf文件 将一种SPDX格式转换为另一种格式 将许可证文本与SPDX列出的许可证进行比较 要求(Linux / Debian / Ubuntu) Sun / Oracle JDK / JRE Variant或OpenJDK。 Python 2.6及更高版本。 Debian / Ubuntu用户必须先安装g ++和python-dev: sudo apt-get install g++ python-dev 要求(Windows) Windows用户需要Python安装和C ++编译器: 安装Python 2.7
spdx-license-diff:ChromeFirefox浏览器扩展程序,可将文本与spdx许可证列表进行比较
02-05
SPDX许可差异 将所选文本与SPDX许可证进行比较,找到最匹配的文本。 此扩展程序在Chrome和Firefox中创建一个浏览器按钮,以将所有选定的文本与SPDX进行比较。 SPDX许可证列表是在自由和开源以及其他协作软件或文档中常用的许可证和例外列表。 SPDX许可证列表的目的是使SPDX文档,源文件或其他地方的许可证和例外能够轻松有效地识别。 SPDX许可证列表包括标准化的简短标识符,全名,经过审查的许可证文本(包括适当的匹配准则标记)以及每个许可证和例外的规范永久性URL。 安装 从或获取它。 贡献 学分 来自脚手架 有关生产归因,请参阅。 执照 我们最初使用的是但一旦便会迁移到A
Solidity中引入的SPDX是什么
qq_50665031的博客
04-14 6202
Solidity中引入的SPDX是什么 起因 Solidity ^0.6.8 要求引入 SPDX 许可证,否则会出现警告: Warning: SPDX license identifier not provided in source file. Before publishing, consider adding a comment containing "SPDX-License-Identifier: <SPDX-License>" to each source file. Use "SP
理解SPDX
漫步量化
06-06 3701
SPDX The Software Package Data Exchange (SPDE), an open standard for communicating software bill of material information, including components, licenses, copyrights, and security references. SPDX is an open source project hosted by the Linux Foundation. ..
spdx-sbom-generator使用记录
phmatthaus的专栏
08-18 2359
spdx-sbom-generator使用记录
SCA技术进阶系列(四):DSDX SBOM供应链安全应用实践
Anprou的博客
12-01 1571
SBOM是保护软件供应链的关键部分,也是漏洞匹配和管理的基础。对于企业而言,SBOM是软件供应链治理中很重要的基础数据,能够帮助企业实现依赖治理、漏洞管理和开源许可证合规。SBOM背后靠的是SCA和知识库数据的支撑,想要充分发挥SBOM的作用,应该将生成工具和尽可能多的研发流程打通,做到实时更新SBOM清单,并和全面的知识库订阅数据进行实时动态关联。随着软件消费者会使用到各类供应商提供的软件产品,这些产品通常以二进制的形式交付,相比源码识别的效果覆盖率会更低,存在的风险更难识别。
Redis 3.0 教程:官方文档中文版解读
教程内容分为多个章节,逐步深入介绍Redis的各项功能: 1. Redis介绍:概述Redis的用途、设计目标和主要特点。 2. 数据类型初探:详细讲解Redis中的各种数据类型及其使用场景。 - 字符串(Strings):基本的数据类型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GitMore

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值