Armadilloフォーラム

ABOSのSBOMの取り扱いについて

製品
Armadillo-IoT G4

tmygt

2025年4月1日 13時27分

==========
製品型番:
Debian/ABOSバージョン:3.21.3-at.2
カーネルバージョン:
3G/LTE モジュール情報 (Debianのみ):
その他:
==========

アットマークテクノさんから提供されているSBOM( https://armadillo.atmark-techno.com/resources/software/armadillo-iot-g4… で配布されているもの )を確認しています。
個別に項目を見ていると、カーネルモジュールおよびpodmanがかなりの件数含まれているとわかりました。
これらのカーネルモジュールはバージョン(versionInfo)が付与されていないため、取り扱いに悩んでいます。

これを踏まえて、2点質問があります。

1. カーネルモジュールのバージョンはカーネルのバージョンと一致するとみなしてよいのでしょうか
2. alpineのパッケージリストも配布されていますが、SBOMはパッケージリストよりも細かい粒度で管理しているように見えます。パッケージリストだけでは含まれるOSSを網羅できないのでしょうか?

コメント

tmygt

2025年4月1日 13時30分

> 個別に項目を見ていると、カーネルモジュールおよびpodmanがかなりの件数含まれているとわかりました。
> これらのカーネルモジュールはバージョン(versionInfo)が付与されていないため、取り扱いに悩んでいます。

紛らわしい書き方で申し訳ありません。補足します。

podman起因のOSSと、Linuxのカーネルモジュールが多く含まれています。
また、その中でもカーネルモジュールにはバージョンが付与されていません。(podman起因のOSSにはバージョンは含まれています。)

at_reika.yamazaki

2025年4月1日 16時49分

お世話になっております。山崎です。

ご確認いただいているのは「Armadillo-IoT ゲートウェイG4用 SWUイメージファイル」の SBOM のことと思います。
こちらには SWU イメージに含まれるパッケージの他に、バイナリファイル等についても列挙しております。カーネルモジュールもこれにあたります。
質問内容からはパッケージについて管理したいのではと思われますが、差し支えなけば SBOM を確認している目的についてお教えいただけますと幸いです。

以上、どうぞよろしくお願いいたします。

tmygt

2025年4月1日 17時12分

お世話になっております。

> 質問内容からはパッケージについて管理したいのではと思われますが、差し支えなけば SBOM を確認している目的についてお教えいただけますと幸いです。

自社SWを組み込んで出荷するにあたり、下記の確認を行いたいです。
1. 製品内に含まれるすべてのソフトウェアのライセンスを遵守できているか
2. 出荷したソフトウェアのバージョンはなにか

これらの目的が達成できればモジュール単位である必要はないです。
むしろもう少し大きな粒度で管理できたほうが便利です。
パッケージで管理した場合、イメージに含まれるバイナリファイルは管理できないのでしょうか?

at_reika.yamazaki

2025年4月2日 11時05分

お世話になっております。山崎です。

詳細については後述しますが、"referenceLocator": "pkg:apk/*" のものをご確認いただくのが良いと思います。

>自社SWを組み込んで出荷するにあたり、下記の確認を行いたいです。
>1. 製品内に含まれるすべてのソフトウェアのライセンスを遵守できているか
>2. 出荷したソフトウェアのバージョンはなにか
>
>これらの目的が達成できればモジュール単位である必要はないです。
>むしろもう少し大きな粒度で管理できたほうが便利です。
>パッケージで管理した場合、イメージに含まれるバイナリファイルは管理できないのでしょうか?

カーネルモジュールを含んだ、カーネル全体のパッケージとしての記載があります。
今回で言えば "SPDXID": "SPDXRef-Package-apk-linux-at-x2-dc2e3c4f1bb67f69" になります。
モジュール名などの詳細については記載しておりますが、まとめた全体のパッケージとして、こちらのバージョンをご確認いただければと思います。
また、こちらは "referenceLocator": "pkg:apk/alpine/linux-at-x2@5.10.235-r0?arch=aarch64&distro=alpine-3.21.3" のようになっており、"referenceLocator": "pkg:apk/*" に該当します。
カーネルモジュールなどは "referenceLocator": "pkg:generic/*" になっているため、"referenceLocator": "pkg:apk/*" のものをご確認いただければ足りると思われます。

ご確認いただけますと幸いです。
以上、どうぞよろしくお願いいたします。

tmygt

2025年4月2日 16時57分

山崎さん

コメントありがとうございます。

> カーネルモジュールを含んだ、カーネル全体のパッケージとしての記載があります。
> 今回で言えば "SPDXID": "SPDXRef-Package-apk-linux-at-x2-dc2e3c4f1bb67f69" になります。

このパッケージがカーネルモジュールを含んでいるということで、承知いたしました。

SPDXの構造を理解できていなかったのですが、このパッケージにカーネルモジュールが含まれているということは relationships に記載があるのですね。
"referenceLocator": "pkg:apk/*"を確認するか、relationshipsを解析するかのどちらかで対応しようと思います。

ありがとうございました。