This service is available only in Japanese-language.
CVEチェックについて
ビルドするパッケージの脆弱性を"cve-check"をlocal.confに追加することでチェックする機能があると伺いました。
bitbake core-image-minimalを実行したところ、下記のようなメッセージが出力されるのですが何か不足していることがあるのでしょうか。
WARNING: cve-check-tool-native-5.6.4-r0 do_populate_cve_db: Error in executing cve-check-update
WARNING: cve-check-tool-native-5.6.4-r0 do_populate_cve_db: Failed to update cve-check-tool database, CVEs won't be checked
以上、よろしくお願いいたします。
yakuhito
2023/2/1 (水) 22:22
cve-check-toolを使用した脆弱性のチェックは使えなくなっています
cve-check-tool-nativeを使用したcve-check.bbclass はYocto2.5(sumo)までとなっていまして、Yocto2.6以降はcve-update-db を使用するように内部の実装が変更されています。
参照先のnvdのデータベースの形式も、2019年10月19日にxml形式のサポートが終了しjson形式のみとなっています。
Yocto2.6(Thud)向けのcve-update.bbclass及びその中から使用されるcve-update-db は、2019年10月19日に形式変更に対応するバックポートが公式サポート終了後の2019年12月にコミットが行われていますが、Yocto2.5までのリリースに対してのバックポートはコミットされていません。
よって、リリース物に含まれるcve-check.bbclassの動作はかなり困難と考えます。
現在使用中のBSPに対して脆弱性のチェックを行いたい場合、継続して使用する場合には有償のサポート契約を結ぶ必要がありますが、https://github.com/TimesysGit/meta-timesys/tree/sumo
のレイヤーを入手し、無償登録でダウンロード可能なAPI Keyを使用して試用可能です。
日本国内では、弊社にて取り扱っておりますのでお問い合わせいただければ幸いです。
https://www.lineo.co.jp/vigiles/