Der SBOM-Generator für Embedded-C/C++.
lynkctl, der kommerzielle Generator von Interlynk, versteht Ihren Build und erzeugt CycloneDX- oder SPDX-SBOMs mit Nachweisen pro Komponente, deterministischer Ausgabe und einer vollständig air-gapped Laufzeitumgebung. Entwickelt für Teams, die unter FDA, EU CRA und ISO/SAE 21434 ausliefern.

Eingebettetes C/C++ sprengt jedes SBOM-Tool, das für die Welt der Paketmanager entwickelt wurde.
C/C++-Projekte haben kein standardisiertes Abhängigkeitsmanifest. Es gibt keine package.json, keine Cargo.toml, keine go.mod. Komponenten werden in den Quellbaum eingebettet (vendored), über Git-Submodule eingebunden oder von Ad-hoc-Skripten geladen, und keine zwei Projekte sehen gleich aus. (Warum das die SBOM-Erstellung so schwierig macht →)
Bestehende SBOM-Tools scheitern auf eine von drei Arten. Build-Time-Tools klinken sich in Ihren Kompiliervorgang ein, verdoppeln die CI-Zeit und setzen die exakte Release-Toolchain voraus. Build-System-gebundene Tools koppeln sich an ein einziges Build-System und brechen in dem Moment, in dem Ihr Projekt nicht dazu passt. Whole-Tree-Scanner geben auf und liefern jede Datei unter src/ zurück: Rauschen für einen Auditor, Risiko für einen Release-Engineer.
lynkctl, der SBOM-Generator von Interlynk, ist nichts davon. Er ist ein Post-Build-Generator: Er läuft nach Ihrem bestehenden Build, daher gibt es keinen erneuten Build und keine doppelte CI-Zeit. Er bleibt unabhängig von Ihrem Build-System, sodass ein Wechsel oder das Mischen von CMake, Conan oder etwas anderem ihn nicht beeinträchtigt. Und anders als ein bloßes Raten über den gesamten Verzeichnisbaum erzeugt lynkctl eine strukturierte SBOM mit komponentengenauen Nachweisen, denen ein Auditor wirklich vertrauen kann.
Entwickelt für Teams aus den Bereichen IoT, Automotive und Medizinprodukte, die unter Auditbedingungen ausliefern.
Toolchain-nativ, von oben bis unten
lynkctl benennt, was es liest: GNU Make, CMake und IAR Embedded Workbench auf der Build-System-Ebene — und darunter die tatsächlichen gcc-, clang-, ld-, iccarm- und ilink-Aufrufe, die sie ausgeben. Kein generischer Quelltext-Scanner.
Nachweise und Vertrauen für jede Komponente
Jede von lynkctl ausgegebene Komponente enthält einen Nachweis: die Quelldatei, die Compile-Zeile, den Include-Pfad und eine Vertrauensstufe. Wenn wir uns nicht sicher sind, sagen wir es Ihnen — im SBOM und in den Diagnosen.
Deterministisch und überprüfbar
Dasselbe Quellbaumverzeichnis erzeugt ein byteidentisches SBOM. Keine eingebetteten Zeitstempel, keine zufällige Reihenfolge der Komponenten. Ihre Release-Pipeline kann zwei SBOMs vergleichen und darauf vertrauen, was sich geändert hat.
Index eingebetteter Open-Source-Software, luftisolierte Laufzeitumgebung
Eingebundener Code wird per Fingerprinting mit unserem Open-Source-Software-Index für Embedded C/C++ abgeglichen — FreeRTOS, lwIP, Mbed TLS, FatFs und mehr — kuratiert von Interlynk und wöchentlich aktualisiert. Der Index wird mit lynkctl ausgeliefert und läuft offline. Keine Netzwerkanfragen; gleiches Verhalten auf Entwicklungs-Laptops und in SCIFs.
Funktioniert es mit Ihrer Toolchain?
Zwei Ebenen der Unterstützung: das Build-System, mit dem Ihr Team liefert, und die Compiler und Linker, die es tatsächlich aufruft. Hier ist, was heute ausgeliefert wird und was als Nächstes kommt.
Build-Systeme
GNU Make
Makefile-gesteuerte C/C++-Projekte.
CMake
Erzeugt Make-, Ninja- oder IDE-Projekte aus CMakeLists.txt.
IAR Embedded Workbench
Proprietäre Embedded-IDE und Toolchain; .ewp-Projektdateien.
Eclipse
In Arbeit
Eclipse-CDT-basierte eingebettete IDEs
Keil µVision
In Arbeit
ARM Cortex-M-Entwicklungsumgebung.
TI Code Composer Studio
In Arbeit
Code Composer Studio für TI-MCUs.
Compiler & Linker
gcc
Compiler · GNU
clang
Compiler · LLVM-Frontend
LLVM
Compiler-Infrastruktur · liegt Clang zugrunde
ld
Linker · GNU
iccarm
Compiler · IAR für ARM
ilink / ilinkarm
Linker · IAR
Quellcodeverwaltung
Git
Komponentenursprung aus .git-Repositorys.
Git-Submodule
Submodul-Verweise auf Upstream-Quellen mit Commit-Pinning aufgelöst.
SVN
In Arbeit
Subversion-Repositories.
Entwickelt für Produkte, die unter Audit ausgeliefert werden.
FDA · 524B
Medizinprodukte
FDA-Premarket-Einreichungen erfordern jetzt gemäß Abschnitt 524B eine SBOM. lynkctl erzeugt CycloneDX-Ausgaben mit der Nachweiskette, die ein Prüfer erwartet, und läuft vollständig vor Ort, sodass die Geräte-Firmware Ihre Build-Umgebung nie verlässt.
EU · CRA
Industrie & Verbraucher
Der EU Cyber Resilience Act verpflichtet Hersteller dazu, über den unterstützten Lebenszyklus jedes Produkts hinweg ein SBOM zu führen. Die deterministische Ausgabe und die Konfidenzbewertung von lynkctl machen die Nachweise in Anhang I des CRA überprüfbar, nicht nur vorhanden.
ISO/SAE 21434 · UN R155
Automobil
Tier-1- und OEM-Lieferanten sehen sich SBOM-Anforderungen bis hinunter auf die ECU gegenüber. Die IAR- und CMake-Provider von lynkctl decken die Toolchains ab, die die meisten Embedded-Teams im Automobilbereich bereits verwenden, ohne den Build neu schreiben zu müssen.
Gängige Ansätze für eingebettete SBOMs.
Source-SCA-Tools fallen in einen der drei oben beschriebenen Fehlermodi. Binäranalyse ist eine ganz andere Schiene — nützlich für undurchsichtige Firmware, aber keine Hilfe, wenn Sie den Quellcode kontrollieren. lynkctl ist der vierte Weg: nach dem Build, buildsystembewusst, kein erneuter Build erforderlich.
FDA · 524B
Möchten Sie es selbst machen? Wir haben auch eine Open-Source-Option.
Nicht jede Codebasis eignet sich für einen Build-Zeit-Introspektor. Vielleicht ist Ihr Build-System exotisch. Vielleicht sind die meisten Ihrer Komponenten von Drittanbietern bezogen, gepatcht oder manuell aus Upstream-Quellen zusammengestellt. Vielleicht möchten Sie auch einfach die volle redaktionelle Kontrolle darüber haben, was letztendlich in der SBOM landet – ganz ohne kommerzielle Lizenzen.
bomtique ist unser Open-Source-Toolkit für manuell erstellte SBOMs. Sie verfassen ein kleines, überprüfbares Manifest Ihrer Komponenten; bomtique generiert daraus eine deterministische CycloneDX- oder SPDX-SBOM. Derselbe Ansatz für überprüfbare Nachweise wie bei lynkctl, dieselbe Air-Gapped-Laufzeitumgebung, vollständig unter Ihrer Kontrolle. Apache 2.0, auf GitHub.
Die Generierung ist nur ein Teil. Der Rest des Lebenszyklus ist ebenfalls in Interlynk enthalten.
lynkctl fügt sich in den Rest unseres Stacks ein: Open-Source-Tools für SBOM-Qualität, Zusammenstellung und manuelle Pflege sowie die Interlynk-Plattform für das SBOM- und VEX-Management über den gesamten Produktlebenszyklus hinweg. Überall nativ CycloneDX.
lynkctl
GEWERBLICH
SBOM-Generator für eingebettete C/C++-Toolchains. Diese Seite.
bomtique
OSS
Manuell erstellte SBOMs für Projekte, bei denen Introspektion nicht geeignet ist.
sbomqs
OSS
SBOM-Qualitätsbewertung — prüfen Sie, was Sie erstellen.
sbomasm
OSS
Zusammenführen mehrteiliger SBOMs über Produkte hinweg.
Warum ist die Erstellung eines SBOMs für C/C++ so schwierig?
C und C++ haben kein standardisiertes Abhängigkeitsmanifest wie package.json oder go.mod. Komponenten werden in den Quellbaum vendored, über git-Submodule eingebunden oder durch Ad-hoc-Skripte geholt, sodass keine zwei Projekte gleich aussehen und generische Tools den größten Teil des Baums übersehen.