caxapa.ru :: Заказчики для соответствия IEC 81001-5-1 требуют Software Bill of Materials в формате представления SPDX. Может кто-нибудь подсказать на эту тему?

VVB (11.03.2024 09:50, просмотров: 1768)

Заказчики для соответствия IEC 81001-5-1 требуют Software Bill of Materials в формате представления SPDX. Может кто-нибудь подсказать на эту тему?

https://www.iso.org/standard/76097.html

https://spdx.github.io/spdx-spec/v2.3/

Вопросы.

1. можно ли файл spdx получить автоматически из buildroot?

2. или же вручную заполнять в экселе для 100500 пакетов, входящих в корневую ФС?

3. порекомендуйте инструменты и/или руководства

4. если целевое приложение использует несколько сторонних библиотек с разными типами лицензий в исходном виде, то как эта ситуация обрабатывается?

5. если целевое приложение использует несколько сторонних библиотек с разными типами лицензий в двоичном виде, то как эта ситуация обрабатывается? например, gnu arm toolchain -> newlib

Ответить

- Интересный стандарт, спасибо. RED_DRAGON(450 знак., 11.03.2024 23:39)
- Вот ещё инструмент нашёл, сюда сброшу. Попробую, отпишусь. Пока непонятно как оно с buildroot подружится. VVB(1 знак., 11.03.2024 11:20, ссылка)
  - Оно не обнаруживает чего-либо полезное ни в каталоге сборки, ни в корневой ФС. Туфта. - VVB(11.03.2024 15:13)
- Нашёл кое-что полезное в виде `make legal-info`. Попробую с его выхлопом поработать. VVB(1 знак., 11.03.2024 11:03, ссылка)
- [off] Eddy_Em(601 знак., 11.03.2024 09:57)
  - Есть стандарты. Хочешь работать в области - соответствуй. Будь готов к аудиту внешнего надзорного органа. В том числе незапланированному аудиту. Не хочешь/неможешь - валяй на уровне хобби никто тебе не запрещает. - RED_DRAGON(12.03.2024 10:59)
  - Build Root = "Создай Корень" VVB(1328 знак., 11.03.2024 10:07)
    - Нафиг там культяпки убогие нужны? За их использование вообще надо терморектальным криптоанализатором - пока дурь из башки не выйдет… - Eddy_Em(11.03.2024 11:41)
      - Любой каприз за ваши деньги. "Нам нужен qt, если не можете - идите нахер". Это не обсуждается. - VVB(11.03.2024 11:51)
        
        Ужоснах. Тащить Qt в embedded - это даже хуже, чем "микропитон"… - Eddy_Em(11.03.2024 11:52)
        
        У нас примерно такое Qt Embedded приложение. И на чём же его писать, как не на Qt? Подскажите. На данный момент времени де-факто есть предъявляемые пользователем стандарты по построению UI, которым должна соответствовать мед. техника. VVB(8 знак., 11.03.2024 13:02, youtube)
        
        Nuklear же! - Eddy_Em(11.03.2024 14:00)
        
        Ты его визуально с Qt embedded сравнивал? - RxTx(11.03.2024 17:24)
        
        Красивше намного. Eddy_Em(203 знак., 11.03.2024 17:36)
        
        Я этих gui проектиков типа nuklear видел десятка три-четыре, если не больше, начиная с 2006..2007 года. Ты думаешь он один такой? - RxTx(11.03.2024 18:02)
        
        Да ну? Картинки для пруфа воткни тогда уж. - RxTx(11.03.2024 17:56)
        
        Qt Embedded не бесплатный же был. - mmc(11.03.2024 13:17)
        
        Qt for Device Creation, Qt for Medical, Qt for Automotive это готовые сборки SDK, утилит и корневой ФС для некоторых SOM, распространяемые и поддерживаемые платно. Никто не мешает самому пройти путь самурая и собрать из исходников SDK и корневую ФС (yocto или buildroot), в которой будут собранные тобой библиотеки Qt. Ты за этот путь самурая платишь своим временем, а время это деньги. Так что тут ещё большой вопрос, что дешевле будет. - VVB(11.03.2024 13:31)
        
        То, что Вы пишете звучит слишком хорошо, чтобы быть правдой. Мне так кажется. Интересно было бы знать прокатит это у Вас или нет. - mmc(11.03.2024 16:03)
        
        Это прокатывает во многих проектах, поддерживаемых инмисом (системным интегратором), прокатит и у нас. Там достаточное количество самураев, которые за небольшую мзду показывают путь новому самураю (мне). VVB(1 знак., 11.03.2024 16:22, ссылка)
        
        Вот таки не понимаю это устремление культяпками богомерзкими пользоваться! Если не годится nuklear, т.к. погромист С не понимает, то под C++ тоже есть его аналог. Ну зачем же пачкаться всякой дрянью вроде Qt или GTK? - Eddy_Em(11.03.2024 16:46)
        
        1. в sdl очень много пилить самому придётся, нам заказчик дал готовую qt либу; 2. легче погромистов найти; 3. в qt существенно меньший порог вхождения чем в sdl; 4. qt это готовый инструмент разработчика, а для sdl всё настраивать придётся; 5. в nuklear нет и не будет графических примитивов которые есть в qt quick - VVB(11.03.2024 16:54)
        
        Я про SDL ничего и не говорил, как по мне - дрянь та еще… А уж насчет порога вхождения - у вас же там не калокуберы с абдуринщиками МК программят, так почему под ПК так запущено все? Eddy_Em(282 знак., 11.03.2024 17:18)
        
        Опиши что плохого в QtSerial - RxTx(11.03.2024 17:22)
        
        Жуткий оверхед, а еще оно глючило одно время, из-за этого была проблема с управлением телескопами из стеллариума (оттуда просто выпилили qtserial на достаточно длительный срок - пока в Qt баг не убрали). Eddy_Em(85 знак., 11.03.2024 17:31)
        
        Ты можшь поконкретнее мысли сформулировать? =_\ - RxTx(11.03.2024 18:05)

Средства и методы разработки