使用 ESP-IDF-SBOM 生成软件物料清单

已于 2023-11-13 15:50:56 修改
阅读量203 收藏 1
点赞数
文章标签: 乐鑫科技 ESP-IDF-SBOM IDE 集成开发环境
于 2023-11-13 15:32:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/espressif/article/details/134374206
版权

概述

“软件物料清单” (SBOM) 已经成为软件安全和软件供应链风险管理的关键组成部分。SBOM 是与应用程序相关的所有软件组件、依赖项和元数据的详尽清单。

乐鑫认为,SBOM 信息是确保联网设备安全性的关键。因此,我们现在提供了相关工具和解决方案,便于跟踪和分析这些信息。

在这篇博文中,我们将介绍乐鑫的 SBOM 生成和分析工具——ESP-IDF-SBOM

SBOM

美国国家电信和信息管理局 (NTIA) 的 SBOM FAQ 对 SBOM 的官方定义如下:

软件物料清单 (SBOM) 是一个完整的、正式结构化的组件、库和模块列表,这些组件、库和模块是构建(即编译和链接)给定软件以及它们之间的供应链关系所需的。这些组件可以是开源的或专有的,免费的或付费的,可以广泛使用或限制访问。

每个组件的关键数据字段包括:

  • 供应商名称
  • 组件名称
  • 组件版本
  • 其他唯一标识符
  • 依赖关系
  • SBOM 数据作者
  • 时间戳

SBOM 数据需要通过一致易懂的格式呈现,SPDX、CycloneDX 等都是数据表示的格式。

ESP-IDF wifi_provisioning 组件的简单概念化 SBOM 树如下:

SPDX

软件包数据交换 (SPDX) 是用于传递 SBOM 信息的开放标准,支持准确识别软件组件、明确映射组件关系,以及将安全和许可信息与每个组件关联起来。

下图概述了可在 SPDX 文档中找到的数据。

(图片来源 SPDX website

ESP-IDF-SBOM

ESP-IDF-SBOM 是一个 SBOM 生成工具,为基于 ESP-IDF 的应用程序生成 SPDX 格式的 SBOM。该工具还可以对比美国国家漏洞数据库 (NVD),检查生成的 SBOM 中是否存在已知安全漏洞。

SBOM 生成器工作流程

工具工作流程大致如下:

  • 从依赖组件中收集 sbom.yml 文件(manifest 文件
  • 解析 ESP-IDF 构建系统生成的项目描述文件
  • 生成 SPDX 报告
  • 扫描生成的 SPDX 报告,检查是否存在已知安全漏洞,之后生成最终报告

入门指南

安装工具并查看帮助文档:

$ pip install esp-idf-sbom
$ esp-idf-sbom --help

usage: esp-idf-sbom [-h] [-q] [-n] [-f] [-v] [-d] [--no-progress] {create,check,manifest} ...

ESP-IDF SBOM tool

positional arguments:
  {create,check,manifest}
                        sub-command help
    create              Create SBOM file based on the ESP-IDF project_description.json file.
    check               Check components/submodules in the ESP-IDF SBOM file for possible
                        vulnerabilities reported in the National Vulnerability Database.
    manifest            Commands operating atop of manifest files.

options:
  -h, --help            show this help message and exit
  -q, --quiet           By default auxiliary messages like errors, warnings, debug messages
                        or progress are reported to the standard error stream. With this
                        option set, all such messages are suppressed.
  -n, --no-colors       Do not emit color codes. By default color codes are used when stdout
                        or stderr is connected to a terminal.
  -f, --force-colors    Emit color codes even when stdout or stderr is not connected to a
                        terminal.
  -v, --verbose         Be verbose. Messages are printed to standard error output.
  -d, --debug           Print debug information. Messages are printed to standard error
                        output.
  --no-progress         Disable progress bar.

生成 SBOM 文件:

$ cd esp-idf/examples/provisioning/wifi_prov_mgr
$ idf.py build
$ esp-idf-sbom create <project description file> --output-file prj.spdx

<project description file> 指位于项目 build 目录中由 ESP-IDF 构建系统默认创建的  project_description.json 文件路径。

检查 SBOM,排查安全漏洞:

$ esp-idf-sbom check prj.spdx

                                        Report summary                                         
┌───────────────────────────────────┬─────────────────────────────────────────────────────────┐
│ Date:                             │ 2023-10-10T08:21:39Z                                    │
│ Project name:                     │ project-wifi_prov_mgr                                   │
│ Project version:                  │ v5.2-dev-3250-g7d8f015a4c                               │
│ Vulnerability database:           │ NATIONAL VULNERABILITY DATABASE (https://nvd.nist.gov)  │
│ Generated by tool:                │ esp-idf-sbom (0.8.0)                                    │
│ Generated with command:           │ esp-idf-sbom check prj.spdx                             │
│ Number of scanned packages:       │ 57                                                      │
├───────────────────────────────────┼─────────────────────────────────────────────────────────┤
│ CRITICAL CVEs found:              │                                                         │
│ Packages affect by CRITICAL CVEs: │                                                         │
│ Number of CRITICAL CVEs:          │ 0                                                       │
├───────────────────────────────────┼─────────────────────────────────────────────────────────┤
│ HIGH CVEs found:                  │                                                         │
│ Packages affect by HIGH CVEs:     │                                                         │
│ Number of HIGH CVEs:              │ 0                                                       │
├───────────────────────────────────┼─────────────────────────────────────────────────────────┤
│ MEDIUM CVEs found:                │                                                         │
│ Packages affect by MEDIUM CVEs:   │                                                         │
│ Number of MEDIUM CVEs:            │ 0                                                       │
├───────────────────────────────────┼─────────────────────────────────────────────────────────┤
│ LOW CVEs found:                   │                                                         │
│ Packages affect by LOW CVEs:      │                                                         │
│ Number of LOW CVEs:               │ 0                                                       │
├───────────────────────────────────┼─────────────────────────────────────────────────────────┤
│ UNKNOWN CVEs found:               │                                                         │
│ Packages affect by UNKNOWN CVEs:  │                                                         │
│ Number of UNKNOWN CVEs:           │ 0                                                       │
├───────────────────────────────────┼─────────────────────────────────────────────────────────┤
│ All CVEs found:                   │                                                         │
│ All packages affect by CVEs:      │                                                         │
│ Total number of CVEs:             │ 0                                                       │
└───────────────────────────────────┴─────────────────────────────────────────────────────────┘


Packages with No Identified Vulnerabilities
                        
┏━━━━━━━━━━━━━━━━━━━━━━━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃        Package        ┃          Version          ┃                   CPE                   ┃
┡━━━━━━━━━━━━━━━━━━━━━━━╇━━━━━━━━━━━━━━━━━━━━━━━━━━━╇━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┩
│ project-wifi_prov_mgr │ v5.2-dev-3250-g7d8f015a4c │ cpe:2.3:a:espressif:esp-idf:5.2-dev-325 │
│                       │                           │       0-g7d8f015a4c:*:*:*:*:*:*:*       │
├───────────────────────┼───────────────────────────┼─────────────────────────────────────────┤
│         lwip          │           2.1.3           │ cpe:2.3:a:lwip_project:lwip:2.1.3:*:*:* │
│                       │                           │                :*:*:*:*                 │
├───────────────────────┼───────────────────────────┼─────────────────────────────────────────┤
│         cjson         │          1.7.16           │ cpe:2.3:a:cjson_project:cjson:1.7.16:*: │
│                       │                           │               *:*:*:*:*:*               │
├───────────────────────┼───────────────────────────┼─────────────────────────────────────────┤
│      protobuf-c       │           1.4.1           │ cpe:2.3:a:protobuf-c_project:protobuf-c │
│                       │                           │          :1.4.1:*:*:*:*:*:*:*           │
├───────────────────────┼───────────────────────────┼─────────────────────────────────────────┤
│       mbed_tls        │           3.4.1           │ cpe:2.3:a:arm:mbed_tls:3.4.1:*:*:*:*:*: │
│                       │                           │                   *:*                   │
├───────────────────────┼───────────────────────────┼─────────────────────────────────────────┤
│       freertos        │          10.4.3           │ cpe:2.3:o:amazon:freertos:10.4.3:*:*:*: │
│                       │                           │                 *:*:*:*                 │
└───────────────────────┴───────────────────────────┴─────────────────────────────────────────┘

...snip

SBOM 漏洞检查的相关说明如下:

  • 以上示例使用的是 ESP-IDF v5.2-dev 的 wifi_prov_mgr 应用程序
  • 在 check 命令中添加 --check-all-packages 选项,可以扫描未链接到最终可执行文件中的组件
  • 也可以为 ESP-IDF 引导加载程序生成 SBOM 报告,在项目的 build/bootloader 目录中能够找到引导加载程序的构建描述文件
  • 上述输出结果中标记了 RTOS、网络栈、TLS 栈等具有通用平台枚举项的关键组件
  • 该工具还提供了构建过程中其他组件和库的信息(上述输出结果中未显示)

报告格式

该工具支持生成 JSON、CSV 等多种格式的输出报告。获取更多信息,请查阅工具的帮助文档。

兼容性

SPDX 是 SBOM 的标准格式,并且兼容外部工具。esp-idf-sbom 生成的 SBOM 文件可以使用 cve-bin-tool 等工具扫描。如您已在系统中集成了外部工具并希望使用某些特定功能(例如,对比不同 CVE 数据库进行更全面的扫描),同样可以使用 esp-idf-sbom 生成的 SBOM 文件。

总结

SBOM 的主要优势总结如下:

  • 生成构建软件构件的组件清单
  • 列出软件许可、组件版本信息,协助进行版本更新
  • 协助执行安全漏洞分析
  • 成为许多安全相关认证的必要条件

ESP-IDF-SBOM 工具有助于为基于 ESP-IDF 的项目生成 SBOM,还可以进一步帮助建立项目的安全漏洞持续扫描流程。

乐鑫正在努力使 SBOM 覆盖更多的软件解决方案,我们期待收到 ESP-IDF-SBOM 工具的反馈。

欢迎尝试使用并分享您的体验!

乐鑫科技 Espressif
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
乐鑫 ESP RainMaker® 系列文章
10-18 435
​乐鑫科技 (688018.SH) 的 ESP RainMaker 为构建物联网生态提供了一个完整的云解决方案,打通了底层硬件(芯片和模组)、软件生态(ESP-IDF 物联网操作系统、Matter、语音助手、HMI 等)、云后端(基于 AWS 搭建)、移动端 APP、设备管理看板全链路,建立了一套开放、灵活、可私有部署的云基础设施。客户无需额外开发与维护,就能够便捷地基于 ESP RainMaker 现有资源构建物联网产品,以较低的投资成本、较少的研发投入、较短的时间探索产品多样性,并实现迭代。
博客
乐鑫 ESP-Mesh-Lite:轻松覆盖更大范围,连接更多设备
09-08 947
创新性的 Wi-Fi Mesh 组网方案,使设备数量和覆盖区域不再受路由器容量和位置限制。
博客
抢先体验|乐鑫推出 ESP32-S3-BOX-3 新一代开源 AIoT 开发套件
08-25 6820
打造新项目原型或构建复杂物联网系统的绝佳工具。欢迎前往乐鑫淘宝店铺购买!
博客
乐鑫 Matter 系列文章
01-12 4379
随着人们对智能家居互联协议 Matter 的热情日益高涨,乐鑫工程师推出 Matter 系列博客,从多方面介绍并讨论 Matter 协议。
博客
通过 QEMU 试用 ESP32-C3 的安全功能
04-25 679
ESP32-C3 系列芯片支持可信启动、flash 加密、安全存储等多种安全功能,还有专用外设来支持 HMAC 和数字签名等用例。这些功能所需的私钥和配置大多存储在 ESP32-C3 的 eFuse 存储器中。启用安全功能时需要谨慎,因为使用到的 eFuse 存储器是一次性可编程存储器,烧写过程不可逆,安全功能最好先在试验场(比如模拟器)中测试,然后再转移到真实硬件上。本文讨论了如何在 QEMU(模拟器)中试用 ESP32-C3 中的不同安全功能。
博客
乐鑫科技收购创新硬件公司 M5Stack 控股权
04-22 409
这一战略举措对于物联网和嵌入式系统领域的两家公司来说都是一个重要的里程碑,也契合了乐鑫和 M5Stack 共同推动 AIoT 技术民主化的愿景。
博客
乐鑫发布 ESP32-H4:支持 802.15.4 和 Bluetooth 5.4 (LE) 的低功耗 SoC
04-11 919
ESP32-H4 在功耗、连接性能和内存扩展能力方面显著升级,可满足市场对低功耗无线设备日益增长的需求。芯片对最新 Bluetooth 5.4 (LE) 的支持也标志着乐鑫在自研低功耗蓝牙芯片领域的重大技术突破,将带来更丰富的应用可能性。
博客
乐鑫将携创新技术方案亮相嵌入式展 Embedded World 2024!
04-02 560
详解高性能 ESP32-P4,现场体验 ESP32-C5 和 ESP32-C61的 Wi-Fi 6 特性,更有丰富的私有云、Matter、HMI 和语音方案。
博客
3 月 4 日-5 月 3 日|2024 乐鑫全球开发者大会演讲征集中!
03-04 244
DevCon24 将是您展现专业知识的绝佳机会!欢迎提交您的提案,加入我们,共创科技的未来。
博客
【USB 方案研讨会回顾】|探索 USB 方案在 ESP32 系列芯片的应用
03-01 262
本研讨会聚焦于 USB 在乐鑫 ESP32 系列芯片中的创新应用。乐鑫技术专家以 USB 的标准和定义为切入点,就乐鑫 USB 外设及方案进行了详细的介绍,并展示了部分乐鑫 USB 方案 Demo 的功能与应用。如果您希望了解更多乐鑫 USB 方案的技术特点和应用领域,欢迎观看研讨会的视频回放了解详情。
博客
书籍推荐|《使用 ESP32 开发物联网项目(第二版)》
02-29 517
​随着物联网技术的迅猛发展,ESP32 因其强大的功能而备受物联网开发者的青睐。在此背景下,资深物联网专家 Vedat Ozan Oner 撰写的《使用 ESP32 开发物联网项目(第二版)》,为开发者提供了全面且深入的指南读物。
博客
线上研讨会|乐鑫 USB 方案赋能设备畅连、数据速递
02-21 916
乐鑫科技 (688018.SH) 宣布推出一系列,旨在为用户提供方便快捷的设备互连和数据传输方式。方案基于乐鑫 SoC(ESP32-S、ESP32-C、ESP32-P 系列),充分利用其标配外设之一 USB,通过支持 USB 2.0 OTG (On-The-Go) 或 USB-Serial-JTAG 接口,满足用户对主机 (Host) 和设备 (Device) 两种模式的多样需求。USB 2.0 OTG 技术使设备可以在主机和设备模式之间自由切换,实现了灵活而高效的连接方式;
博客
Arduino 推出基于乐鑫 ESP32-S3 的 STEM 教育机器人
02-01 803
Arduino Alvik 是基于乐鑫 ESP32-S3 开发,能够在 MicroPython 运行的一款功能丰富的小型机器人,适用于教育等领域。
博客
乐鑫与 Elektor 杂志合作推出特刊,聚焦 AIoT 创新
01-31 595
由乐鑫领衔编辑的 Elektor 杂志特刊已于近期出版,涵盖丰富的乐鑫项目和教程,旨在激发读者的创新灵感。
博客
Wi-Fi 6 超值畅享|乐鑫发布 ESP32-C61 SoC
01-08 1004
ESP32-C61 集成 2.4 GHz Wi-Fi 6 和 Bluetooth 5 (LE),支持 Matter,具备优化的外设、强化的连接性能和更大的存储选项,将在性能方面带来显著提升。
博客
CES 2024 倒计时|乐鑫多款 SoC 首度揭秘,丰富 AIoT 方案等你解锁!
12-29 537
乐鑫科技 (688018.SH) 将携多款全新芯片 (ESP32-P4, ESP32-H4, ESP32-C61, ESP32-C5)、乐鑫 Wi-Fi 6 技术、新一代开源 AIoT 开发套件 ESP32-S3-BOX-3、ESP RainMaker 私有云方案、全面的 Matter 互联方案、HMI 和语音方案等重磅亮相 CES 2024,为客户快速构建行业领先且富有竞争力的物联网方案提供全面、专业的支持。这也意味着乐鑫以创新的前沿半导体技术和卓越的产品性能,赢得了全球市场的认可。
博客
基于 ESP32-S3 的 Walter 开发板
12-08 379
该项目是用 KiCad EDA 创建的,同时也完全开源,方便您获取所有硬件文件。此开发板是您使用 ESP32-S3 作为主 MCU,开启 LTE-M、NB-IoT 和 GNSS 应用的绝佳选择。推出了一款基于乐鑫 ESP32-S3 且拥有 5G LTE 连接功能的新型开源开发套件。目前该开发板支持 Arduino 和 ESP-IDF,您可以尝试不同的示例,例如 HTTP、CoAP、MQTT 等。|Walter 是一款基于 ESP32-S3 且拥有 5G LTE 连接功能的新型开源开发套件。
博客
ESP Multi-Room Music 方案:支持音频实时同步播放 实现音乐互联共享
11-28 604
ESP Multi-Room Music 方案使用乐鑫自研的基于 Wi-Fi 局域网的音频同步播放技术,支持音频设备间低延时自动校准,打造影院级立体声环绕系统。
博客
乐鑫推出 ESP ZeroCode ExL 模组
11-27 183
乐鑫推出 ESP ZeroCode ExL 模组,由 AWS IoT ExpressLink 提供支持,可简化用户构建兼容 Matter 的云连接设备。为简化 Matter 设备的开发,乐鑫在年初。ESP ZeroCode 模组非常适合一些简单设备进行 Matter 连接,例如照明设备、开关、插座、百叶窗控制器以及传感器等。您可以使用 ESP ZeroCode 控制台来配置、评估和订购 ESP ZeroCode 模组。
博客
乐鑫发布 Arduino ESP32 v3.0.0
11-16 468
乐鑫宣布发布 Arduino ESP32 新版本 v3.0.0,该版本使用最新的 ESP-IDF v5.1,并新增对 ESP32-C6 和 ESP32-H2 的支持。2021 年 9 月,乐鑫发布了 Arduino ESP32 v2.0.0,开始支持 ESP32-S2 和 ESP32-C3,稍后发布的版本也增加了对 ESP32-S3 的支持。v2.0.0 版本意义非凡,对社区生态来说是一个重要的里程碑。不仅因为支持了新的 SoC,还因为项目就此迈入了新的时代。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值