[LINUX] Verwenden Sie SW360 / SPDX Lite, um die AGL-Release-Software einfach zu überprüfen

Dieser Artikel ist der 19. Tagesartikel von OpenChain Advent Calender

Einführung

Diskussion auf OpenChain über die in AGL (Automotive Grade Linux) der OSS-Community für Automobile verwendete Software Verwenden Sie das laufende SW360 und SPDX Lite, um die von AGL verwendete Software zu erhalten. Ich werde eine Methode vorstellen, die jeder leicht überprüfen kann Der Inhalt dieser Zeit wird am OpenChain-Stand im AGL-Demo-Stand auf der CES 2020 vorgestellt. OpenChain and AGL Collaborate to Facilitate Open Source Compliance in Automotive Production

Informationen zur AGL-Release-Software

AGL veröffentlicht zweimal im Jahr Software, und die neueste Software, Icefish RC3 (v8.99.3), wird für die offizielle Veröffentlichung zu Beginn des Jahres vorbereitet. Auf dieser Seite finden Sie Versionshinweise zur AGL. Die vorgefertigte Software ist auch für die Öffentlichkeit zugänglich und die Ausgabe von license.manifest, wenn Yocto erstellt wird. -demo-platform-crosssdk-qemuarm64-20191206223152 / license.manifest) können Sie wie folgt überprüfen, welche Art von Software in AGL verwendet wird.

af-binder


PACKAGE VERSION: master+gitAUTOINC+82a9d79621
RECIPE NAME: af-binder
LICENSE: Apache-2.0

auf diese Weise ·Paketnamen ·Ausführung ·Lizenz AGL verwendet jedoch 1.500 bis 1.600 Software, und es ist schwierig, license.manifest zu überprüfen, sodass jeder AGL problemlos mit SW360 / SPDX Lite überprüfen kann. Ich möchte in der Lage sein, die Release-Software von zu überprüfen

Gesamtbild dieser Umgebung

Da davon ausgegangen wird, dass SPDX in SW360 importiert und verwendet wird, verwenden Sie meta-spdxscanner, um eine SPDX-Datei aus der AGL-Release-Software zu erstellen. Da SW360 SPDX Lite mit SW360tools ausgeben kann, kann jeder die AGL-Software einfach mit EXCEL überprüfen. 無題.png

Umgebung einrichten

meta-spdxscanner

Da AGL Meta-SPDX-Scanner wie unten gezeigt unterstützt,

  <project name="dl9pf/meta-spdxscanner" path="external/meta-spdxscanner" remote="github" revision="483f79e66eb76b0f1bebe1e3a0a0327b0ba59f16" upstream="thud"/>

Richten Sie den vom SPDX-Scanner verwendeten Foss-Treiber ein. Informationen zur Einrichtung finden Sie im Artikel Tag 10. Bearbeiten Sie nach Abschluss des Setups die Datei local.conf unter https://github.com/dl9pf/meta-spdxscanner, führen Sie bitbake aus und geben Sie die SPDX-Datei aus.

$ bitbake package_name -c spdx # will generate spdx of a specified package

SW360 Informationen zum Einrichten des SW360 finden Sie in diesem Artikel. Dieses Mal möchte ich SPDX Lite (EXCEL) von SW360 ausgeben, daher werde ich zusätzlich SW360tools einrichten.

Ausgabe von SPDX Lite aus dem Import der SPDX-Datei

Importieren Sie nach dem Einrichten der Umgebung die generierte SPDX-Datei in SW360. 無題.png

Nach Abschluss des Imports wird die in SW360 importierte Software angezeigt. 無題.png

Mit SW360tools können Sie das auszugebende SPDX-Element auswählen und im CSV-Format ausgeben, während nur die erforderlichen Informationen wie SPDX Lite minimiert werden. 無題.png

Selbst in einer Umgebung, in der SW360 nicht verwendet werden kann, kann jederzeit problemlos auf die von Excel ausgegebene Datei verwiesen werden. 無題.png

schließlich

Obwohl es in Eile eingeführt wurde, empfand ich Folgendes als Problem, wenn ich es am eigentlichen Entwicklungsstandort verwendete. -Die Zeit für die Ausgabe von SPDX mit dem Meta-SPDX-Scanner ist länger als die Erstellungszeit von Bitbake, und es gibt ein Problem bei der Integration in CI.

Das Thema von morgen ist ...

Morgen über "Punkte, die beim Aufbau eines OSS-Compliance-Systems zu beachten sind" Herr Nonaka, ein Partneranwalt von DLA Piper, der auch an Promotion SWG teilnimmt, wird verantwortlich sein.

Recommended Posts

Verwenden Sie SW360 / SPDX Lite, um die AGL-Release-Software einfach zu überprüfen
Versuchen Sie es mit GUI, PyQt in Python
Machen Sie es mit der Syntax einfach
Schließen Sie sich csv an, das von Python-Pandas normalisiert wurde, um die Überprüfung zu vereinfachen