开源安全基金会 (OpenSSF) 在欧洲开源峰会上宣布,他们已拥有实施 SBOM Everywhere 所需的资金,计划将软件材料清单 (SBOM) 引入所有编程语言和框架,首先是 Python。
其目标是提高所有开源软件的弹性和安全性。而它向着 SBOM 成功迈出的第一步就是,资助软件包数据交换 (SPDX) Python 库的工作。该项目的工作于 9 月 1 日开始。
根据介绍,SPDX 是描述 SBOM 的 ISO 标准。虽然 Python 已经有一个 SPDX 库,但由于缺乏支持,它已经过时了。Anchore 安全副总裁兼 Kate Stewart SPDX 技术主管 Josh Bressers 解释称:“SPDX python 库需要更新,以使其与更现代的 SPDX 版本保持一致;并将代码变成更易于维护的东西,以减小社区贡献难度。SPDX python 库没有具备适当技能或资金的志愿者来完成这项工作。然而,OpenSSF 确实有可以实现这一目标的资金。”
一旦完成,为任何 Python 程序创建 SBOM 将会容易得多。反之,这也将加强你的代码安全。
OpenSSF 方面表示,为代码改进付费并不意味着他们将控制 SPDX Python 库,这不是他们的目的所在;相关的领导决策权仍在 Python 软件基金会和创始人/主席 Guido van Rossum 手中。OpenSSF 此举的原因在于,保护所有开源软件的工作“不仅仅是 OpenSSF,而且将使得整个开源社区受益。”
OpenSSF 总经理 Brian Behlendorf 表示,很快将会有更多语言获得所需的支持,将 SBOM 作为其管理开发管道的组成部分添加。但这一过程需要时间,预计不能很快到来。