Interlynk · C/C++-Generator für eingebettete SBOMs
Interlynk · C/C++-Generator für eingebettete SBOMs
Interlynk · C/C++-Generator für eingebettete SBOMs

Der SBOM-Generator für Embedded-C/C++.

lynkctl, der kommerzielle Generator von Interlynk, versteht Ihren Build und erzeugt CycloneDX- oder SPDX-SBOMs mit Nachweisen pro Komponente, deterministischer Ausgabe und einer vollständig air-gapped Laufzeitumgebung. Entwickelt für Teams, die unter FDA, EU CRA und ISO/SAE 21434 ausliefern.

Vor Ort • Standardmäßig air-gapped • CycloneDX + SPDX • Deterministische Ausgabe

Vor Ort • Standardmäßig air-gapped • CycloneDX + SPDX • Deterministische Ausgabe

DAS PROBLEM
DAS PROBLEM
DAS PROBLEM

Eingebettetes C/C++ sprengt jedes SBOM-Tool, das für die Welt der Paketmanager entwickelt wurde.

C/C++-Projekte haben kein standardisiertes Abhängigkeitsmanifest. Es gibt keine package.json, keine Cargo.toml, keine go.mod. Komponenten werden in den Quellbaum eingebettet (vendored), über Git-Submodule eingebunden oder von Ad-hoc-Skripten geladen, und keine zwei Projekte sehen gleich aus. (Warum das die SBOM-Erstellung so schwierig macht →)
Bestehende SBOM-Tools scheitern auf eine von drei Arten. Build-Time-Tools klinken sich in Ihren Kompiliervorgang ein, verdoppeln die CI-Zeit und setzen die exakte Release-Toolchain voraus. Build-System-gebundene Tools koppeln sich an ein einziges Build-System und brechen in dem Moment, in dem Ihr Projekt nicht dazu passt. Whole-Tree-Scanner geben auf und liefern jede Datei unter src/ zurück: Rauschen für einen Auditor, Risiko für einen Release-Engineer.
lynkctl, der SBOM-Generator von Interlynk, ist nichts davon. Er ist ein Post-Build-Generator: Er läuft nach Ihrem bestehenden Build, daher gibt es keinen erneuten Build und keine doppelte CI-Zeit. Er bleibt unabhängig von Ihrem Build-System, sodass ein Wechsel oder das Mischen von CMake, Conan oder etwas anderem ihn nicht beeinträchtigt. Und anders als ein bloßes Raten über den gesamten Verzeichnisbaum erzeugt lynkctl eine strukturierte SBOM mit komponentengenauen Nachweisen, denen ein Auditor wirklich vertrauen kann.
Entwickelt für Teams aus den Bereichen IoT, Automotive und Medizinprodukte, die unter Auditbedingungen ausliefern.
SO FUNKTIONIERT ES
SO FUNKTIONIERT ES
SO FUNKTIONIERT ES

Vier Dinge, die lynkctl tut, die generische SCA-Tools nicht tun.

Vier Dinge, die lynkctl tut, die generische SCA-Tools nicht tun.

Toolchain-nativ, von oben bis unten

lynkctl benennt, was es liest: GNU Make, CMake und IAR Embedded Workbench auf der Build-System-Ebene — und darunter die tatsächlichen gcc-, clang-, ld-, iccarm- und ilink-Aufrufe, die sie ausgeben. Kein generischer Quelltext-Scanner.

Nachweise und Vertrauen für jede Komponente

Jede von lynkctl ausgegebene Komponente enthält einen Nachweis: die Quelldatei, die Compile-Zeile, den Include-Pfad und eine Vertrauensstufe. Wenn wir uns nicht sicher sind, sagen wir es Ihnen — im SBOM und in den Diagnosen.

Deterministisch und überprüfbar

Dasselbe Quellbaumverzeichnis erzeugt ein byteidentisches SBOM. Keine eingebetteten Zeitstempel, keine zufällige Reihenfolge der Komponenten. Ihre Release-Pipeline kann zwei SBOMs vergleichen und darauf vertrauen, was sich geändert hat.

Index eingebetteter Open-Source-Software, luftisolierte Laufzeitumgebung

Eingebundener Code wird per Fingerprinting mit unserem Open-Source-Software-Index für Embedded C/C++ abgeglichen — FreeRTOS, lwIP, Mbed TLS, FatFs und mehr — kuratiert von Interlynk und wöchentlich aktualisiert. Der Index wird mit lynkctl ausgeliefert und läuft offline. Keine Netzwerkanfragen; gleiches Verhalten auf Entwicklungs-Laptops und in SCIFs.
TOOLCHAIN-ABDECKUNG
TOOLCHAIN-ABDECKUNG
TOOLCHAIN-ABDECKUNG

Funktioniert es mit Ihrer Toolchain?

Zwei Ebenen der Unterstützung: das Build-System, mit dem Ihr Team liefert, und die Compiler und Linker, die es tatsächlich aufruft. Hier ist, was heute ausgeliefert wird und was als Nächstes kommt.

Build-Systeme

GNU Make
Makefile-gesteuerte C/C++-Projekte.
CMake
Erzeugt Make-, Ninja- oder IDE-Projekte aus CMakeLists.txt.
IAR Embedded Workbench
Proprietäre Embedded-IDE und Toolchain; .ewp-Projektdateien.
Eclipse

In Arbeit

Eclipse-CDT-basierte eingebettete IDEs
Keil µVision

In Arbeit

ARM Cortex-M-Entwicklungsumgebung.
TI Code Composer Studio

In Arbeit

Code Composer Studio für TI-MCUs.

Compiler & Linker

gcc

Compiler · GNU

clang

Compiler · LLVM-Frontend

LLVM

Compiler-Infrastruktur · liegt Clang zugrunde

ld

Linker · GNU

iccarm

Compiler · IAR für ARM

ilink / ilinkarm

Linker · IAR

Quellcodeverwaltung

Git

Komponentenursprung aus .git-Repositorys.

Git-Submodule

Submodul-Verweise auf Upstream-Quellen mit Commit-Pinning aufgelöst.

SVN

In Arbeit

Subversion-Repositories.
REGULIERTE BRANCHEN
REGULIERTE BRANCHEN
REGULIERTE BRANCHEN

Entwickelt für Produkte, die unter Audit ausgeliefert werden.

FDA · 524B

Medizinprodukte

FDA-Premarket-Einreichungen erfordern jetzt gemäß Abschnitt 524B eine SBOM. lynkctl erzeugt CycloneDX-Ausgaben mit der Nachweiskette, die ein Prüfer erwartet, und läuft vollständig vor Ort, sodass die Geräte-Firmware Ihre Build-Umgebung nie verlässt.

EU · CRA

Industrie & Verbraucher

Der EU Cyber Resilience Act verpflichtet Hersteller dazu, über den unterstützten Lebenszyklus jedes Produkts hinweg ein SBOM zu führen. Die deterministische Ausgabe und die Konfidenzbewertung von lynkctl machen die Nachweise in Anhang I des CRA überprüfbar, nicht nur vorhanden.

ISO/SAE 21434 · UN R155

Automobil

Tier-1- und OEM-Lieferanten sehen sich SBOM-Anforderungen bis hinunter auf die ECU gegenüber. Die IAR- und CMake-Provider von lynkctl decken die Toolchains ab, die die meisten Embedded-Teams im Automobilbereich bereits verwenden, ohne den Build neu schreiben zu müssen.
VERGLEICH
VERGLEICH
VERGLEICH

Gängige Ansätze für eingebettete SBOMs.

Source-SCA-Tools fallen in einen der drei oben beschriebenen Fehlermodi. Binäranalyse ist eine ganz andere Schiene — nützlich für undurchsichtige Firmware, aber keine Hilfe, wenn Sie den Quellcode kontrollieren. lynkctl ist der vierte Weg: nach dem Build, buildsystembewusst, kein erneuter Build erforderlich.
BinäranalyseGenerische Quelle SCALYNKCTL
Benötigt QuelleNeinJaJa
Fügt deiner CI einen Build-Durchlauf hinzuNeinOftNein
Kennt eingebettete Toolchains als vollwertige EingabenNeinNeinJa
Behandelt vendorierten CodeTeilweiseTeilweiseJa (Index für eingebettete Open-Source-Software)
Nachweisverlauf pro KomponenteSeltenSeltenJa
Standardmäßig netzisoliertManchmalSeltenJa
Am besten fürUnbekannte Firmwareserverseitige CodebasenEingebettete Produkte, die Sie entwickeln
BOMTIQUE
BOMTIQUE
BOMTIQUE

FDA · 524B

Möchten Sie es selbst machen? Wir haben auch eine Open-Source-Option.

Nicht jede Codebasis eignet sich für einen Build-Zeit-Introspektor. Vielleicht ist Ihr Build-System exotisch. Vielleicht sind die meisten Ihrer Komponenten von Drittanbietern bezogen, gepatcht oder manuell aus Upstream-Quellen zusammengestellt. Vielleicht möchten Sie auch einfach die volle redaktionelle Kontrolle darüber haben, was letztendlich in der SBOM landet – ganz ohne kommerzielle Lizenzen.
bomtique ist unser Open-Source-Toolkit für manuell erstellte SBOMs. Sie verfassen ein kleines, überprüfbares Manifest Ihrer Komponenten; bomtique generiert daraus eine deterministische CycloneDX- oder SPDX-SBOM. Derselbe Ansatz für überprüfbare Nachweise wie bei lynkctl, dieselbe Air-Gapped-Laufzeitumgebung, vollständig unter Ihrer Kontrolle. Apache 2.0, auf GitHub.
$ bomtique manifest add \
--name FreeRTOS-Kernel --version 10.6.1 \
--license MIT \
--vendored-at third_party/FreeRTOS-Kernel
# hat .components.json geschrieben
$ bomtique scan --format cyclonedx --out ./sbom
# hat sbom/firmware-1.0.0.cdx.json geschrieben
INTERLYNK-STACK
INTERLYNK-STACK
INTERLYNK-STACK

Die Generierung ist nur ein Teil. Der Rest des Lebenszyklus ist ebenfalls in Interlynk enthalten.

lynkctl fügt sich in den Rest unseres Stacks ein: Open-Source-Tools für SBOM-Qualität, Zusammenstellung und manuelle Pflege sowie die Interlynk-Plattform für das SBOM- und VEX-Management über den gesamten Produktlebenszyklus hinweg. Überall nativ CycloneDX.

lynkctl

GEWERBLICH

SBOM-Generator für eingebettete C/C++-Toolchains. Diese Seite.

bomtique

OSS

Manuell erstellte SBOMs für Projekte, bei denen Introspektion nicht geeignet ist.

sbomqs

OSS

SBOM-Qualitätsbewertung — prüfen Sie, was Sie erstellen.

sbomasm

OSS

Zusammenführen mehrteiliger SBOMs über Produkte hinweg.
FAQ
FAQ
FAQ

FAQ zum C/C++-SBOM

FAQ zum C/C++-SBOM

Warum ist die Erstellung eines SBOMs für C/C++ so schwierig?

C und C++ haben kein standardisiertes Abhängigkeitsmanifest wie package.json oder go.mod. Komponenten werden in den Quellbaum vendored, über git-Submodule eingebunden oder durch Ad-hoc-Skripte geholt, sodass keine zwei Projekte gleich aussehen und generische Tools den größten Teil des Baums übersehen.

Muss lynkctl mein Build-System ändern?

Mit welchen Toolchains funktioniert es?

Kann es in einer air-gapped Umgebung laufen?

Wie unterscheidet sich das von Binäranalyse oder generischer SCA?

Vertraut von Sicherheits- und Compliance-Teams in 100+ regulierten Unternehmen

Erleben Sie lynkctl an Ihrem echten Build.

Bringen Sie ein Projekt mit: IAR Embedded Workbench, GNU Make oder CMake. Wir führen lynkctl darauf aus und gehen die SBOM gemeinsam mit Ihnen durch: Nachweise, Konfidenzstufen, Diagnostik, alles.

Vertraut von Sicherheits- und Compliance-Teams in 100+ regulierten Unternehmen

Interlynk automatisiert SBOMs, verwaltet Open-Source-Risiken, überwacht Lieferanten und bereitet Sie auf das Post-Quanten-Zeitalter vor – alles auf einer vertrauenswürdigen Plattform.

Audit-bereite SBOM. Bei jedem Build.

Vertraut von Sicherheits- und Compliance-Teams in 100+ regulierten Unternehmen

Interlynk automatisiert SBOMs, verwaltet Open-Source-Risiken, überwacht Lieferanten und bereitet Sie auf das Post-Quanten-Zeitalter vor – alles auf einer vertrauenswürdigen Plattform.

Audit-bereite SBOM. Bei jedem Build.