Anche quest’anno un nostro intervento è stato accettato al Fosdem 2023. Questa volta abbiamo fatto domanda alla devroom Software Bill of Material con un titolo “A complete compliance toolchain for Yocto projects (even very large ones, yes)”
Presentiamo la toolchain che abbiamo creato per Eclipse Oniro, riteniamo che il più grande sforzo di conformità da parte di molte metriche mai tentato per i progetti Yocto, con oltre ai soliti sospetti (Fossology, Scancode, SPDX, BANG, Gitlab CI) alcuni strumenti appositamente sviluppati, tra cui una dashboard, aliens4friends, un database grafico per mappare dipendenze e incompatibilità di licenza, un resolver di licenze e molto altro.
Yocto ha (come aggiunta recente) aggiornato il proprio software per creare un SBOM. Abbiamo lavorato su alcuni complementi che devono essere aggiunti per consumarlo per tutte le campane e fischietti di un’analisi completa della composizione del software conforme a OpenChain. Abbiamo creato un modo per preservare queste informazioni durante l’intero processo di creazione di una build e possiamo dimostrare come sia possibile identificare in modo univoco ogni singolo file che va nell’immagine finale, risolvere ogni licenza di file binario da un ampio mix di file sorgente con licenza diversa, trovare le dipendenze, trovare potenziali incompatibilità e riutilizzare queste informazioni condividendole pubblicamente. Questo per un progetto la cui base di dati e numero di licenze, file e pacchetti controllati è molto ampia (si potrebbe dire “enorme”). Pertanto, abbiamo realizzato ciò che consideriamo una quantità senza precedenti di automazione del processo.
Il link all’evento è disponibile all’indirizzo https://fosdem.org/2023/schedule/event/sbom_toolchain_yocto/
