oota-h
2022年6月23日 10時36分
お世話になっております。太田と申します。
現在Armadillo-X1に自社のソフトウェアを載せて、製品を開発中です。
量産にあたり、オーブンソースソフトウェア(OSS)のセキュリティ対応を行っておりまして、
Debian公式が提供している脆弱性DB(OVAL)を用いて脆弱性を検知しようとしています。
御社のArmadillo-X1上で動作するDebianのバックポーティングは、ノーマルのDebianと同じリポジトリを参照しているのでしょうか?
若しくは、修正モジュールは御社独自でパッチ適用しており、公式Debianとはパッケージ管理方法が異なるのでしょうか?
ご教示いただけますと幸いです。よろしくお願いいたします。
at_ohsawa
2022年6月24日 14時37分
> お世話になっております。太田と申します。
> 現在Armadillo-X1に自社のソフトウェアを載せて、製品を開発中です。
> 量産にあたり、オーブンソースソフトウェア(OSS)のセキュリティ対応を行っておりまして、
> Debian公式が提供している脆弱性DB(OVAL)を用いて脆弱性を検知しようとしています。
> 御社のArmadillo-X1上で動作するDebianのバックポーティングは、ノーマルのDebianと同じリポジトリを参照しているのでしょうか?
> 若しくは、修正モジュールは御社独自でパッチ適用しており、公式Debianとはパッケージ管理方法が異なるのでしょうか?
両方です。
bluezとmodemmanagerはパッチしてあり、download.atmark-techno.comから提供しています。
あとは、LEDの表示の制御や(X1と共通のプラットフォームのG3が利用している)LTE接続復帰用の
スクリプト等を供給するatmark-x1-baseも同リポジトリから提供してます。
debianのパッケージリポジトリとして何を使っているのかは
/etc/apt/sources.list
を見ればわかります。
パッチしているものは全てパッチバージョンとしてベースの
パッケージバージョンにatmark[VERSION]が付いているので、
dpkg -l |grep atmarkとするとわかります。
ソースコードがみたい場合は先のsource.listにある
download.atmark-techno.comの行をコピーして
先頭をdebからdeb-srcに変えて保存した後に
apt-get update
apt-get source [パッケージ名]
でソースが取得されます。
全てdpatchの型式でパッチしてあるので、ソースコード内の
/debian/patchesにdebian公式のパッチを当社のパッチが
存在しています。