meta wr sbom
1.0.0
Meta-WR-SBOM OpenEmbedded/Yocto層用於生成基於Yocto項目的軟件包數據交換(SPDX)格式的軟件材料清單(SBOM)。該圖層使用SPDX V2.2規範創建的SBOM文件將包括對軟件組件的準確識別,組件之間關係的明確映射以及安全性和許可信息與每個組件的關聯。
此外,可以使用諸如Wind River掃描工具之類的掃描儀嘗試檢測脆弱性檢測。
有關Meta-WR-SBOM或Wind River掃描工具的商業支持選擇,請聯繫Wind River。
請創建一個新項目以應用此工俱生成SBOM。
克隆Meta-WR-SBOM存儲庫(或將其檔案庫)推入您的Yocto Build Project的頂級目錄:
git clone https://github.com/Wind-River/meta-wr-sbom如果Yocto版本低於4.2,或者Wind River Linux版本低於LTS23,請跳過此步驟。否則,請在下面執行結帳命令:
cd meta-wr-sbom
git checkout 4.2_or_higher將圖層路徑添加到conf/bblayers.conf文件:
BBLAYERS += " /xxx/.../meta-wr-sbom "bitbake ${image_name}您的Yocto項目的SBOM文件將作為TMP/Deploy/Images/$ {Machine}/$ {image_name} .spdx.json生成。
gen_spdx.py腳本用於為WRLinux 5-8生成SBOM。
生成舊版本wrlinux sbom
產生Petalinux SBOM
所有產品名稱,徽標和品牌都是其各自所有者的財產。本軟件中使用的所有公司,產品和服務名稱僅用於識別目的。 Wind River是Wind River Systems,Inc。的商標。
保修 /無支持的免責聲明:根據Wind River的標準軟件支持和維護協議或其他方式,Wind River不為該軟件提供支持和維護服務。除非適用法律要求,否則Wind River以“原樣”提供軟件(每個貢獻者提供其貢獻),而無需任何形式的明示或暗示保證,包括而不受限制的所有權保證,非侵權,商人性,適銷性或適合特定目的的保證。您負責確定使用或重新分配軟件的適當性,並承擔與您在許可下行使權限有關的任何風險。
