Auteurs : Michael Gielda, Kate Stewart
Une nomenclature logicielle (ou SBOM) met à disposition les informations sur les composants logiciels exécutés sur un système. La transparence et la synthèse sont nécessaires dans les systèmes embarqués avec des contraintes de ressources et où les mises à jour peuvent avoir des coûts de déploiement ou de rappel importants.
En 2021, nous avons vu des indicateurs significatifs indiquant que le fait d’avoir un SBOM va devenir une exigence réglementaire dans certains segments de marché embarqués (médical, énergie, etc.) et le Le gouvernement américain a publié un décret exécutif en mai 2021 qui a un calendrier avec les attentes selon lesquelles l’industrie serait prête à générer des SBOM en 2022.
Le progiciel Data eXchange® (SPDX®) est une norme internationale (ISO/IEC 5962:2021), capable d’exprimer des informations SBOM, ainsi que d’autres faits sur les packages logiciels, les fichiers et les extraits. Il est uniquement capable de spécifier la fidélité des informations requises pour les logiciels embarqués et de partitionner les informations de manière logique pour exprimer les informations au niveau du système.
Le projet Zephyr a incorporé la capacité de générer automatiquement des SBOM lors des builds en 2021. Ceci est fait lors de la construction d’exécutables Zephyr en utilisant le ‘ouest spdx’ commander. ouest est le méta-outil de Zephyr qui prend en charge l’infrastructure de construction. Plusieurs SBOM sont créés (un pour les sources Zephyr, un pour les sources d’application et un pour l’image construite) qui renvoient à toutes les dépendances dans les fichiers source.
Le tableau de bord Renode Zephyr d’Antmicro inclut désormais les SBOM
Membre Platine de Zephyr Project, Antmicroentre autres contributions (y compris le maintien de la prise en charge de Zephyr pour RISC-V et le contournement prise en charge de Zephyr sur les plates-formes FPGA), a permis aux développeurs de Zephyr d’accéder à de puissantes capacités de simulation, de test et de débogage de leur cadre de simulation open source, Renode.
Renode partage l’approche indépendante du fournisseur et centrée sur l’utilisateur de Zephyr, en se concentrant sur la sécurité et la productivité des développeurs du RTOS.
Les deux projets open source collaborent depuis de nombreuses années maintenant, mais récemment, une grande vitrine de la complémentarité de Zephyr et Renode est démontrée par le Tableau de bord Renode Zephyr.
L’outil Renode visualise les résultats d’un système d’intégration continue (CI) exécutant de vrais binaires Zephyr sur plusieurs architectures, cartes et SoC de divers fournisseurs, incorporant les avantages des exemples portables et les données de plate-forme structurées fournies par Zephyr.
La flexibilité et la reconfigurabilité de Renode produisent un tableau de bord concis affichant les cartes compatibles Zephyr actuellement prises en charge dans le cadre de simulation ouvert d’Antmicro.
Ce projet de tableau de bord utilise les informations systématisées de Zephyr – qui utilise arborescences d’appareils pour décrire les données de plate-forme nécessaires pour choisir et configurer des pilotes et des sous-systèmes spécifiques, qui peuvent ensuite être mappés sur la nature plug and play, orientée blocs de construction de Renode.
Le tableau de bord Renode inclut les SBOM dans les versions standard
En tant que membre du comité directeur technique de Zephyr, Antmicro collabore avec d’autres membres de Zephyr (qui incluent de nombreux clients d’Antmicro tels que Google, Intel ou NXP) pour garantir l’utilisation d’une approche standardisée et unifiée pour la mise en œuvre de nouveaux ports. Ce concept de définition des points communs dans les plates-formes est une étape importante vers l’amélioration et la généralisation de la prise en charge du silicium dans l’outillage des systèmes embarqués.
Actuellement à 129 panneaux de passage et couvrant quatre démos différentes, y compris MicroPython et TensorFlow Lite Microla version la plus récente du tableau de bord Zephyr est améliorée avec la possibilité de générer automatiquement des artefacts SBOM pour tous ses échantillons.
Cela montre à quel point Zephyr simplifie la génération de logiciels fiables et responsables et les SBOM qui les accompagnent. Le tableau de bord montre un large éventail de plates-formes prises en charge par Zephyr et Renode, qui ont toutes des SBOM.
L’utilisation de Renode vous aide à suivre diverses mesures (performances, couverture, utilisation de la mémoire, etc.) liées à votre logiciel au fil du temps. La capacité de génération de nomenclature logicielle complète cette image, offrant la traçabilité et la sécurité nécessaires pour créer des produits commerciaux réels.
À propos des auteurs:
Michael Gielda est vice-président du développement commercial chez Antmicro, président de la sensibilisation pour CHIPS Alliance et membre des comités de marketing de RISC-V International et du projet Zephyr. Contact: mgielda@antmicro.com
Kate Stewart est vice-présidente des systèmes embarqués fiables à la Linux Foundation, co-responsable technique du projet SPDX et membre du conseil d’administration du projet CHAOSS. Contact: kstewart@linuxfoundation.org