SBOMフォーマットSPDXの新バージョン「SPDX3.0 Release Candidate」をリリース Linux Foundation：SPDXを新しいユースケースにも対応させる狙い

Linux FoundationはSBOMフォーマット「SPDX」の新バージョン「SPDX3.0 Release Candidate」をリリースした。

[＠IT]

　Linux Foundationは2023年5月8日（米国時間）、「SBOM」（Software Bill of Materials：ソフトウェア部品表）フォーマット「SPDX」（Software Package Data Exchange）の新バージョン「SPDX3.0 Release Candidate」をリリースした。

SBOM生成と消費のユースケースに対応する6つのプロファイルを開発

　SPDX3.0 Release CandidateではSBOM生成と利用のユースケースに対応する6つのプロファイルを開発した。セキュリティ、ライセンス、AI（人工知能）、データセット、ソフトウェアパッケージのビルドプロセスに特に焦点を当てて開発したという。

　6つのプロファイルは、ソフトウェアがインフラストラクチャの重要な一部となっている業界のコミュニティーからフィードバックを得て作成したという。

　Linux Foundationは「これらの新しいプロファイルによってSPDXは、グローバルなソフトウェアサプライチェーンのニーズに応えることを保証し、採用する人に大きなメリットをもたらす」と期待を寄せている。

SPDX 3.0　目標はSPDX規格の浸透

　SPDX 3.0の狙いは、SPDX規格を新しいユースケースに拡張し、ソフトウェアエンジニアやセキュリティ専門家、法務、コンプライアンス専門家が同規格をより簡単に導入、利用できるようにすることだという。

　近年では米国政府や欧州連合が、ソフトウェアの依存関係やサプライチェーンの安全性を高めることを推進しており、実用的な国際規格の必要性が高まっている。

　SPDX 3.0はその国際規格の標準となることが目標。サプライチェーンの透明性とセキュリティを支えるツールキットとして機能することを目的としている。

　Linux Foundationは今回のSPDX3.0 Release Candidateのリリースについて、「SPDXプロジェクトにとって重要なマイルストーンであり、今回含まれるエキサイティングな機能をシェアできることに喜びを感じる」と述べている。