[LINUX] Verwenden Sie SW360 / SPDX Lite, um die AGL-Release-Software einfach zu überprüfen
Dieser Artikel ist der 19. Tagesartikel von OpenChain Advent Calender
Einführung
Diskussion auf OpenChain über die in AGL (Automotive Grade Linux) der OSS-Community für Automobile verwendete Software Verwenden Sie das laufende SW360 und SPDX Lite, um die von AGL verwendete Software zu erhalten. Ich werde eine Methode vorstellen, die jeder leicht überprüfen kann Der Inhalt dieser Zeit wird am OpenChain-Stand im AGL-Demo-Stand auf der CES 2020 vorgestellt. OpenChain and AGL Collaborate to Facilitate Open Source Compliance in Automotive Production
Informationen zur AGL-Release-Software
AGL veröffentlicht zweimal im Jahr Software, und die neueste Software, Icefish RC3 (v8.99.3), wird für die offizielle Veröffentlichung zu Beginn des Jahres vorbereitet. Auf dieser Seite finden Sie Versionshinweise zur AGL. Die vorgefertigte Software ist auch für die Öffentlichkeit zugänglich und die Ausgabe von license.manifest, wenn Yocto erstellt wird. -demo-platform-crosssdk-qemuarm64-20191206223152 / license.manifest) können Sie wie folgt überprüfen, welche Art von Software in AGL verwendet wird.
af-binder
PACKAGE VERSION: master+gitAUTOINC+82a9d79621
RECIPE NAME: af-binder
LICENSE: Apache-2.0
auf diese Weise ·Paketnamen ·Ausführung ·Lizenz AGL verwendet jedoch 1.500 bis 1.600 Software, und es ist schwierig, license.manifest zu überprüfen, sodass jeder AGL problemlos mit SW360 / SPDX Lite überprüfen kann. Ich möchte in der Lage sein, die Release-Software von zu überprüfen
Gesamtbild dieser Umgebung
Da davon ausgegangen wird, dass SPDX in SW360 importiert und verwendet wird, verwenden Sie meta-spdxscanner, um eine SPDX-Datei aus der AGL-Release-Software zu erstellen. Da SW360 SPDX Lite mit SW360tools ausgeben kann, kann jeder die AGL-Software einfach mit EXCEL überprüfen.
Umgebung einrichten
meta-spdxscanner
Da AGL Meta-SPDX-Scanner wie unten gezeigt unterstützt,
<project name="dl9pf/meta-spdxscanner" path="external/meta-spdxscanner" remote="github" revision="483f79e66eb76b0f1bebe1e3a0a0327b0ba59f16" upstream="thud"/>
Richten Sie den vom SPDX-Scanner verwendeten Foss-Treiber ein. Informationen zur Einrichtung finden Sie im Artikel Tag 10. Bearbeiten Sie nach Abschluss des Setups die Datei local.conf unter https://github.com/dl9pf/meta-spdxscanner, führen Sie bitbake aus und geben Sie die SPDX-Datei aus.
$ bitbake package_name -c spdx # will generate spdx of a specified package
SW360 Informationen zum Einrichten des SW360 finden Sie in diesem Artikel. Dieses Mal möchte ich SPDX Lite (EXCEL) von SW360 ausgeben, daher werde ich zusätzlich SW360tools einrichten.
Ausgabe von SPDX Lite aus dem Import der SPDX-Datei
Importieren Sie nach dem Einrichten der Umgebung die generierte SPDX-Datei in SW360.
Nach Abschluss des Imports wird die in SW360 importierte Software angezeigt.
Mit SW360tools können Sie das auszugebende SPDX-Element auswählen und im CSV-Format ausgeben, während nur die erforderlichen Informationen wie SPDX Lite minimiert werden.
Selbst in einer Umgebung, in der SW360 nicht verwendet werden kann, kann jederzeit problemlos auf die von Excel ausgegebene Datei verwiesen werden.
schließlich
Obwohl es in Eile eingeführt wurde, empfand ich Folgendes als Problem, wenn ich es am eigentlichen Entwicklungsstandort verwendete. -Die Zeit für die Ausgabe von SPDX mit dem Meta-SPDX-Scanner ist länger als die Erstellungszeit von Bitbake, und es gibt ein Problem bei der Integration in CI.
- Wenn beim Importieren einer SPDX-Datei in SW360 die Anzahl der Dateien 100 überschreitet, kann es beim Lesen zu einem Einfrieren kommen. ・ Die Wartung von Dockerfile verzögert sich und der Aufbau der Umgebung kostet Geld. Ich denke, es gibt andere betriebliche Probleme, aber ich möchte eine Erfolgsbilanz aufbauen, während ich nach und nach FB an offenen Orten wie AGL mache.
Das Thema von morgen ist ...
Morgen über "Punkte, die beim Aufbau eines OSS-Compliance-Systems zu beachten sind" Herr Nonaka, ein Partneranwalt von DLA Piper, der auch an Promotion SWG teilnimmt, wird verantwortlich sein.