meta wr sbom
1.0.0
YoCTOベースのプロジェクト用のソフトウェアパッケージデータExchange(SPDX)形式のソフトウェア材料請求書(SBOM)を生成するために、Meta-wr-Sbom Openembedded/Yoctoレイヤーが使用されます。 SPDX V2.2仕様を使用してレイヤーによって作成されたSBOMファイルには、ソフトウェアコンポーネントの正確な識別、コンポーネント間の関係の明示的なマッピング、および各コンポーネントとのセキュリティおよびライセンス情報の関連付けが含まれます。
その上、Wind River Scanningツールなどのスキャナーを使用して、脆弱性の検出を試してみることができます。
Meta-wr-SbomまたはWind River Scanningツールを使用した商業サポートオプションについては、Wind Riverにお問い合わせください。
このツールを適用してSBOMを生成する新しいプロジェクトを作成してください。
Meta-wr-sbomリポジトリをクローン(またはそのアーカイブを開梱)yoctoビルドプロジェクトのトップレベルディレクトリにします。
git clone https://github.com/Wind-River/meta-wr-sbomYoCTOバージョンが4.2より低い場合、またはWind River LinuxバージョンがLTS23よりも低い場合は、この手順をスキップしてください。それ以外の場合は、以下のチェックアウトコマンドを実行します。
cd meta-wr-sbom
git checkout 4.2_or_higherconf/bblayers.confファイルにレイヤーパスを追加します。
BBLAYERS += " /xxx/.../meta-wr-sbom "bitbake ${image_name}YOCTOプロジェクトのSBOMファイルは、tmp/deploy/images/$ {machine}/$ {image_name} .spdx.jsonとして生成されます。
Gen_Spdx.pyスクリプトは、Wrlinux 5-8のSBOMを生成するために使用されます。
古いバージョンWRLINUX SBOMを生成します
Petalinux SBOMを生成します
すべての製品名、ロゴ、およびブランドは、それぞれの所有者の財産です。このソフトウェアで使用されるすべての会社、製品、およびサービス名は、識別目的のみを目的としています。 Wind Riverは、Wind River Systems、Inc。の商標です。
保証の免責事項 /サポートなし:Wind Riverは、Wind Riverの標準的なソフトウェアサポートおよびメンテナンス契約など、このソフトウェアのサポートとメンテナンスサービスを提供していません。適用法で要求されない限り、ウィンドリバーはソフトウェア(および各貢献者がその貢献を提供する)を提供します。これは、特定の目的の保証、非侵入、商人性、またはフィットネスを含むが、これに限定されない、明示的または黙示的な保証なしで、いかなる種類も黙示的ではありません。お客様は、ソフトウェアの使用または再配布の適切性を判断し、ライセンスに基づく許可の行使に関連するリスクを引き受けることに責任があります。
