Wind River Studio Linux Services： 
确保设备生命周期内信息安全

风河可提供

信息安全持续监控

风河可持续主动地监控客户嵌入式Linux平台运行状况，及时告警出现的CVE，利用根据公共信息来源（如NIST、Yocto Project和MITRE CVE数据库）构建的漏洞和合规性问题数据库，准确识别潜在漏洞。

• 全面扫描客户平台，并与诸多数据库对比，准确识别潜在漏洞，由风河工程师团队开展深入分析，确定漏洞对客户平台的影响
• 按需扫描Linux平台，包括内核、BSP及共享用户库，甄别潜在信息安全漏洞
• 出具详细的信息安全报告，识别客户Linux平台所有未修复的CVE

许可证使用鉴别

扫描客户Linux平台，提供平台所使用的各项许可证及传递依赖性详细报告。

• 按需扫描Linux平台，包括内核、BSP及共享用户库，甄别潜在信息安全漏洞
• 可扫描客户平台所使用的各项许可证，并根据其许可性、公共版权、兼容性和传递依赖性加以分类
• 详细的许可证报告，识别客户Linux平台所使用的各项许可证
• 提供各项修复服务，解决许可证合规性问题

协作分类及评估

风河工程师团队会根据通用漏洞评分系统阈值（CVSS）、影响严重性、攻击难度和规避能力，助力贵企业快速识别漏洞并确定其优先级，制定漏洞修复发布计划，解决需优先处理的关键CVE。

• 详细的信息安全报告，识别客户平台未修复的CVE
• 修复识别的关键和高CVE，其CVSS阈值为7及以上
• 客户可通过在线支持门户请求修复非关键CVE（CVSSv3 < 7）
• 风河工程师审核复查，确保及时响应
• 若客户需要精通其项目的专职工程师，风河可提供高级支持服务

CVE修复

风河工程师团队开展深入分析，确定CVE对客户Linux平台的影响。风河助力客户确定修复事宜的优先级和时间安排，向后移植、验证并核实基于社区的补丁后，才会将其用于客户代码。若社区没有解决方案，风河将与贵企业工程团队通力合作，制定全新的技术解决方案。

• 可修复CVSS阈值为7及以上的关键和高CVE
• 协作并确定中低CVE优先级
• 修复关键CVE的应急补丁
• 每季度发布修复补丁，修复其他优先级的CVE
• 可提供修复软件包，减少CVE技术债

质量先行

所有修复操作归入风河持续集成（CI）流程，在整个开发周期内开展每日/每周/每月构建和测试过程，确保客户拥有高质量的稳定Linux平台。经修复、测试和发布，风河会出具可用于项目验证的更新版软件物料清单和文档。

• 重新部署前，验证和测试通过补丁或自定义工程对平台的所有修正
• 利用风河CI流程每日开展构建和测试，确保高质量交付
• 提供应急补丁修复关键漏洞，发布季度修复补丁，修复其他优先级的漏洞

软件物料清单和发布文档

每次修改代码后会生成新的软件物料清单。

• 在线发布概览（dashboards）和报告，追踪修复情况和进度
• 发布已修复CVE和缺陷说明

社区上游

风河可成为贵企业Yocto Project的合作伙伴和代言人。
风河可代表贵企业深耕社区上游，将所有修复或工程解决方案回馈社区。

全球支持

风河拥有全球专家团队，可支持贵企业Linux平台，提供多样支持服务。
›› 浏览风河奖项和行业认可

• 在线支持门户，用于在修复期间提交工单
• 风河工程师审核复查，确保及时响应
• 若客户需要精通其项目的专职工程师，风河可提供高级支持服务

全球支持中心

开源领导力及工程专业知识

风河是Linux基金会Yocto Project的创始成员之一，也是关键组件的卓越贡献者和维护者之一。
›› 了解Yocto Project

• 过去五年间致力于Yocto Project，是商业贡献领军者
• 最近贡献了安全响应工具
• 社区内经验证的项目管理与宣传