Utilisez SW360 / SPDX Lite pour vérifier facilement le logiciel de version AGL

Cet article est l'article du 19ème jour du Calendrier de l'Avent OpenChain

introduction

Discussion sur OpenChain sur le logiciel utilisé dans AGL (Automotive Grade Linux) de la communauté OSS pour les automobiles Utilisez SW360 et SPDX Lite en cours pour obtenir le logiciel utilisé par AGL. Je vais vous présenter une méthode que tout le monde peut facilement vérifier Le contenu de cette fois sera présenté sur le stand OpenChain dans le stand de démonstration AGL au CES 2020. OpenChain and AGL Collaborate to Facilitate Open Source Compliance in Automotive Production

À propos du logiciel de version AGL

AGL publie des logiciels deux fois par an et le dernier logiciel, Icefish RC3 (v8.99.3), est en cours de préparation pour une sortie officielle au début de l'année. Consultez cette page (https://wiki.automotivelinux.org/agl-distro/release-notes) pour les notes de publication d'AGL. Le logiciel pré-construit est également ouvert au public, et la sortie license.manifest lorsque Yocto est construit. -demo-platform-crosssdk-qemuarm64-20191206223152 / license.manifest), vous pouvez vérifier quel type de logiciel est utilisé dans AGL comme suit.

af-binder


PACKAGE VERSION: master+gitAUTOINC+82a9d79621
RECIPE NAME: af-binder
LICENSE: Apache-2.0

de cette façon ·nom du paquet ·version ·Licence Cependant, AGL utilise entre 1 500 et 1 600 logiciels, et il est difficile de vérifier license.manifest, de sorte que n'importe qui peut facilement utiliser SW360 / SPDX Lite pour vérifier AGL. J'aimerais pouvoir vérifier la version du logiciel de

Image globale de cet environnement

Comme il est supposé que SPDX sera importé dans SW360 et utilisé, utilisez meta-spdxscanner pour créer un fichier SPDX à partir du logiciel de version AGL. Puisque SW360 peut produire SPDX Lite en utilisant SW360tools, n'importe qui peut facilement vérifier le logiciel AGL en utilisant EXCEL. 無題.png

Mise en place de l'environnement

meta-spdxscanner

Étant donné qu'AGL prend en charge scanner meta-spdx comme indiqué ci-dessous,

  <project name="dl9pf/meta-spdxscanner" path="external/meta-spdxscanner" remote="github" revision="483f79e66eb76b0f1bebe1e3a0a0327b0ba59f16" upstream="thud"/>

Configurez le pilote foss utilisé par le scanner spdx. Veuillez vous reporter à l'article Jour 10 pour la méthode de configuration. Une fois l'installation terminée, éditez local.conf en vous référant à https://github.com/dl9pf/meta-spdxscanner, exécutez bitbake et sortez le fichier SPDX.

$ bitbake package_name -c spdx # will generate spdx of a specified package

SW360 Pour la configuration du SW360, reportez-vous à cet article pour la configuration. Cette fois, je veux sortir SPDX Lite (EXCEL) de SW360, je vais donc configurer SW360tools en plus.

Sortie de SPDX Lite à partir de l'importation du fichier SPDX

Après avoir configuré l'environnement, importez le fichier SPDX généré dans SW360. 無題.png

Lorsque l'importation est terminée, le logiciel importé vers SW360 s'affiche. 無題.png

En utilisant SW360tools, il est possible de sélectionner l'élément SPDX à sortir, et il est possible de sortir au format csv tout en minimisant uniquement les informations nécessaires telles que SPDX Lite. 無題.png

Même dans un environnement où SW360 ne peut pas être utilisé, il est possible de se référer facilement à la sortie du fichier par Excel à tout moment. 無題.png

à la fin

Bien qu'il ait été introduit à la hâte, voici ce que j'ai ressenti comme un problème lors de son utilisation sur le site de développement réel. -Le temps de sortie de SPDX à l'aide du scanner meta-spdx est plus long que le temps de construction de bitbake, et il y a un problème pour l'incorporer dans CI. -Lors de l'importation d'un fichier SPDX dans SW360, si le nombre de fichiers dépasse 100, un gel peut se produire pendant la lecture. ・ La maintenance de Dockerfile est retardée et la construction de l'environnement coûte de l'argent. Je pense qu'il y a d'autres problèmes opérationnels, mais j'aimerais accumuler les réalisations tout en FB progressivement dans des lieux ouverts comme AGL.

Le thème de demain est ...

Demain, sur "Points à garder à l'esprit lors de la création d'un système de conformité OSS" M. Nonaka, avocat associé de DLA Piper qui participe également à Promotion SWG, sera en charge.

Recommended Posts

Utilisez SW360 / SPDX Lite pour vérifier facilement le logiciel de version AGL
Essayez de le faire avec GUI, PyQt en Python
Rendre avec la syntaxe facile
Rejoignez CSV normalisé par les pandas Python pour faciliter la vérification