OWASP 基金會(開放 Web 應用程序安全項目)和 IBM 今天宣布了 IBM 對兩個開源項目的貢獻,旨在提高開放硬件和軟件供應鏈之間的信任度。
這兩個項目是 SBOM Utility和許可證掃描器,它添加到 CycloneDX,這是一個旗艦 OWASP 項目和領先的材料清單 (BOM) 標準。這些促進了 BOM 中包含的軟件許可信息的驗證、內容分析和準確性。
IBM 開發的 SBOM Utility 和 License Scanner 將為 OWASP 貢獻開源技術,以幫助開發人員提高他們的數據質量前端並幫助驗證 SBOM 以評估風險。
SBOM 實用程序旨在成為一個 API 平台,主要用於根據其發布的模式驗證 CycloneDX 或 SPDX 格式的 BOM。它還可以幫助驗證由希望執行更嚴格的 BOM 數據要求的組織創建的衍生產品。
License Scanner 旨在掃描文件以獲取許可證和法律條款。它可用於幫助從完整的已發布 SPDX 許可證列表 中識別文本匹配許可證和許可證例外情況。開箱即用,它與 3.18 版本的 SPDX 許可證(略少於 500 個)和許可證例外(40 個以上)相匹配,並帶有導入未來版本的 SPDX 許可證的選項。
License Scanner 的開發是為了集成到 IBM Cloud 的持續交付服務的 DevOps 工具鏈中,並且還用作 IBM 在批准內部使用之前對開源和企業軟件的法律許可流程的一部分。
“有仍然需要意識、工具和指導來幫助創建具有更多安全功能的軟件,”IBM 系統戰略和開發總經理 Jamie Thomas 說。 “IBM 長期以來一直致力於為 OWASP 基金會等各種開源社區做出貢獻。我們相信這些貢獻可以幫助開發人員評估風險並創建更安全的應用程序,從而贏得消費者的信任。”
SBOM Utility 和 License Scanner 在 GitHub 上。
圖片來源:Chan2545/depositphotos.com