Linuxeden开源社区
对于那些正在采用软件物料清单(SBOM)以增加软件组件的透明度、许可证合规性、漏洞管理和保障软件供应链安全的组织,提议对 Linux 内核进行补丁将引入一个 SPDX SBOM 生成工具。
德国咨询公司 TNG Tech 一直在开发这个用于 Linux 内核源码树的 SPDX SBOM 生成工具,这是一个 Python 脚本工具,用于生成符合 SPDX 3.0.1 格式的 SBOM 文档,以描述 Linux 内核及其为 SBOM 合规性构建的模块:
“软件物料清单(SBOM)描述了软件产品的各个组件。对于内核,目标是描述可分发的构建输出(通常是内核映像和模块)、产生这些输出的源文件,以及连接源文件和输出文件的构建过程。
为此,SBOM 工具生成三个 SPDX 文档:
– sbom-output.spdx.json
描述了最终的构建输出以及高级别的构建元数据。– sbom-source.spdx.json
描述了构建中涉及的所有源文件,包括许可信息和额外的文件元数据。– sbom-build.spdx.json
描述整个构建过程,将源 SBOM 中的源文件链接到输出 SBOM 中的输出文件。sbom 工具是可选的,仅在 CONFIG_SBOM 启用时运行。它在构建完成后调用,一旦所有输出工件都已生成。从内核映像和模块作为根节点开始,该工具重建依赖关系图直到原始源文件。构建依赖主要来自 Kbuild 生成的.cmd 文件,这些文件记录了用于构建每个输出文件的完整命令。
希望了解更多关于这个 Linux 内核 SPDX SBOM 生成工具的人,可以查看今天在 Linux 内核邮件列表上发布的新补丁系列。
转自 SPDX SBOM Generation Tool Proposed For The Linux Kernel – Phoronix