Wind River Studio Linux Services： 
信息安全及合规性分析与修复 

风河可提供

信息安全甄别和CVE识别

扫描Linux平台运行状况，甄别所有CVE。运行专业级甄别程序，并与诸多数据库对比，准确识别潜在漏洞；随后，风河工程师会深入分析潜在漏洞对平台的影响。

• 扫描客户Linux平台，包括内核、BSP及共享用户库，甄别潜在信息安全漏洞
• 访问根据公共信息来源（如NIST、Yocto Project和MITRE CVE数据库）构建的漏洞和合规性问题数据库
• 出具详细的信息安全报告，识别客户Linux平台所有未修复的CVE

许可证使用鉴别

扫描客户Linux平台，提供平台所使用的各项许可证及传递依赖性详细报告。

• 扫描客户Linux平台，包括内核、BSP及共享用户库，甄别潜在许可证问题
• 可扫描平台所使用的各项许可证，并根据其许可性、公共版权、兼容性和传递依赖性加以分类
• 详细的许可证报告，识别客户Linux平台所使用的各项许可证

CVE修复方案

风河全球工程师团队会根据通用漏洞评分系统阈值（CVSS）、影响严重性、攻击难度和规避能力，助力贵企业快速识别漏洞并确定其优先级，制定漏洞修复方案，解决需优先处理的CVE。

• 详细的信息安全报告，识别客户平台未修复的CVE
• 根据其严重性和影响，确定需修复的CVE优先级
• 评估修复时间和成本，确保客户Linux平台安全

许可证合规性修复方案

风河工程师团队开展深入分析，确定客户解决方案中受限许可证的影响，助力客户确定修复优先级和时间安排。

• 详细的许可证使用报告，识别客户Linux平台所用的许可证
• 确定贵企业不得使用的许可证优先级
• 评估修复时间和成本，确保客户Linux平台符合贵企业许可证政策

CVE修复

风河工程师团队开展深入分析，确定CVE对客户Linux平台的影响。风河助力客户确定修复事宜的优先级和时间安排，向后移植、验证并核实基于社区的补丁后，才会将其用于客户代码。若社区没有解决方案，风河将与贵企业工程团队通力合作，制定全新的技术解决方案。

• 确定现有CVE的优先级
• 向后移植、验证并测试现有的CVE社区补丁，并将其用于客户Linux平台
• 若无CVE社区补丁，风河助力开发全新解决方案

许可证使用问题修复

风河工程师团队可开展深入分析，确定解决方案中受限许可证的影响，助力客户确定修复事宜优先级和时间安排。

• 确定受限许可证优先级，制定修复方案
• 制定替代方案或开发全新解决方案，避免使用限制使用的许可证

质量先行

所有修复操作归入风河持续集成（CI）流程，在整个开发周期内开展每日/每周/每月构建和测试过程，确保客户拥有高质量的稳定Linux平台。经修复、测试和发布，风河会出具可用于项目验证的更新版软件物料清单和文档。

• 重新部署前，验证和测试通过补丁或自定义工程对平台的所有修正
• 利用风河CI流程每日开展构建和测试，确保高质量交付

软件物料清单和发布文档

每次修改代码后会生成新的软件物料清单。

• 发布补丁，根据修复方案修正CVE和许可证事宜
• 在线发布概览（dashboards）和报告，追踪修复情况和进度
• 发布已修复CVE说明

社区上游

风河可成为贵企业Yocto Project的合作伙伴和代言人。
风河可代表贵企业深耕社区上游，将所有修复或工程解决方案回馈社区。

全球支持

风河拥有全球专家团队，可支持贵企业Linux平台，提供多样支持服务。
›› 浏览风河奖项和行业认可

• 在线支持门户，用于在修复期间提交工单
• 风河工程师审核复查，确保及时响应
• 若客户需要精通其项目的专职工程师，风河可提供高级支持服务

全球支持中心

开源领导力及工程专业知识

风河是Linux基金会Yocto Project的创始成员之一，也是关键组件的卓越贡献者和维护者之一。
›› 了解Yocto Project

• 过去五年间致力于Yocto Project，是商业贡献领军者
• 最近贡献了安全响应工具
• 社区内经验证的项目管理与宣传