2022年11月1日に公表されたOpenSSLの脆弱性CVE-2022-3602/CVE-3786に関して、YoctoProjectで影響を受けるのはYocto4.0(kirkstone)以降となっています。
Yocto3.4までOpenSSLは、1.X系列を使用しているため、今回公表された脆弱性は含まれておりません。

既にopenembedded-coreのMLには、OpenSSL 3.0.5 から 3.0.7にupdateするパッチも投稿されています。
https://lists.openembedded.org/g/openembedded-core/message/172369

変更点は
・OpenSSL 3.0.5 から　OpenSSL 3.0.7 へのアップデート。
・OpenSSL 3.0.6 で解決したCVE-2022-3358へ対応するためのパッチファイルの削除
となっています。

BSPの次期アップデートまで待てない場合は、上記の投稿されたパッチを適用することで脆弱性への対処済のバージョンに更新可能となります。

2022/5/17-19(UTC) の日程でYoctoProjectのVIRTUAL SUMMITが開催されました。

従来、Yocto Project Developer Day　として実施されていたイベント内容を含んだ
広範囲の内容を扱ったセミナーが実施され、資料の公開が始まっています。

イベントの案内
https://pretalx.com/yocto-project-summit-2022-05/

スケジュール
https://pretalx.com/yocto-project-summit-2022-05/schedule/

上記スケジュール内の各項目から、講演内容及び資料のリンクが参照可能です。

2022年4月29日のリリースに向けて準備が進められているYocto3.5LTS (Kirkstone)ですが、
仕様の確定作業が終了しています。

一昨年より検討されていた用語の見直しが今回のリリースのタイミングで実施されることと
なり、既存のmetadataに対する変換スクリプトも準備されています。
https://git.yoctoproject.org/poky/tree/scripts/contrib/convert-variable-...

上記スクリプト内の変換テーブルに登録されている以下の変数名が変更となります。

既存の変数名　　　　　　　新しい変数名
"BB_ENV_WHITELIST" : "BB_ENV_PASSTHROUGH",
"BB_ENV_EXTRAWHITE" : "BB_ENV_PASSTHROUGH_ADDITIONS",
"BB_HASHCONFIG_WHITELIST" : "BB_HASHCONFIG_IGNORE_VARS",
"BB_SETSCENE_ENFORCE_WHITELIST" : "BB_SETSCENE_ENFORCE_IGNORE_TASKS",
"BB_HASHBASE_WHITELIST" : "BB_BASEHASH_IGNORE_VARS",
"BB_HASHTASK_WHITELIST" : "BB_TASKHASH_IGNORE_TASKS",
"CVE_CHECK_PN_WHITELIST" : "CVE_CHECK_SKIP_RECIPE",
"CVE_CHECK_WHITELIST" : "CVE_CHECK_IGNORE",
"MULTI_PROVIDER_WHITELIST" : "BB_MULTI_PROVIDER_ALLOWED",
"PNBLACKLIST" : "SKIP_RECIPE",
"SDK_LOCAL_CONF_BLACKLIST" : "ESDK_LOCALCONF_REMOVE",
"SDK_LOCAL_CONF_WHITELIST" : "ESDK_LOCALCONF_ALLOW",
"SDK_INHERIT_BLACKLIST" : "ESDK_CLASS_INHERIT_DISABLE",
"SSTATE_DUPWHITELIST" : "SSTATE_ALLOW_OVERLAP_FILES",
"SYSROOT_DIRS_BLACKLIST" : "SYSROOT_DIRS_IGNORE",
"UNKNOWN_CONFIGURE_WHITELIST" : "UNKNOWN_CONFIGURE_OPT_IGNORE",
"ICECC_USER_CLASS_BL" : "ICECC_CLASS_DISABLE",
"ICECC_SYSTEM_CLASS_BL" : "ICECC_CLASS_DISABLE",
"ICECC_USER_PACKAGE_WL" : "ICECC_RECIPE_ENABLE",
"ICECC_USER_PACKAGE_BL" : "ICECC_RECIPE_DISABLE",
"ICECC_SYSTEM_PACKAGE_BL" : "ICECC_RECIPE_DISABLE",
"LICENSE_FLAGS_WHITELIST" : "LICENSE_FLAGS_ACCEPTED",

2022年1月11日以降、github.com は git protpcolのサポートを停止するとのアナウンスがおこなれており、以降は
httpsプロトコルでのアクセスが必要となります。
https://github.blog/2021-09-01-improving-git-protocol-security-github/#w...

Yocto Projectでリリースを行っているpoky distoribution は、2021/11以降にリリースされるポイントリリースでは
git protocol で、github.com にアクセスしようとする際に、httpsに強制的に変更する処理が追加されており、既存のリリースについても、既にEOLとなっているthud 以降については、対応するコミットが行われています。。
https://git.yoctoproject.org/cgit/cgit.cgi/poky/commit/bitbake/lib/bb/fe...

@@ -152,6 +152,10 @@ class Git(FetchMethod):
ud.proto = 'file'
else:
ud.proto = "git"
+ if ud.host == "github.com" and ud.proto == "git":
+ # github stopped supporting git protocol
+ # https://github.blog/2021-09-01-improving-git-protocol-security-github/#n...
+ ud.proto = "https"

来年1月11日以降、2021年11月以前にコミットされたpokyをお使いの場合、bitbake/lib/bb/fetch2/git.py を
バックポートを行うことで、warning(github.comへのアクセスエラーが発生し、ミラーから取得） の抑止が可能になります。