Beyond the Release: Managing Long-Term Risk and Compliance in Embedded Linux with Yocto

Anna-Lena Marx präsentiert praktische Lösungen, wie sich mit Yocto Compliance, langfristige Wartbarkeit und kontinuierliche Sicherheit in Embedded-Systemen gewährleisten lassen – auch jenseits des ersten Releases!

Nachhaltige Embedded-Sicherheit: Yocto als Antwort auf den Cyber Resilience Act

Der neue Cyber Resilience Act (CRA) markiert einen Wendepunkt in der Embedded-Entwicklung: Software ist nicht mehr nur Beiwerk zur Hardware, sondern wird zur zentralen Architektur-Richtlinie. Mit Forderungen nach einer kontinuierlichen Schwachstellenverwaltung und einer Herstellerhaftung von mindestens fünf Jahren zwingt der CRA Unternehmen zu einem radikalen Umdenken – weg von „Einmal-Releases“, hin zu langfristig wartbaren Systemen.

Die Risiken klassischer Entwicklungsansätze

In ihrem Vortrag identifiziert Anna-Lena Marx die kritischen Fallstricke, die viele Projekte heute gefährden. Dazu gehören vor allem:

  • Vendor-BSP-Fallen: Stark modifizierte „Forked Kernels“ in Board Support Packages verzögern oder verhindern notwendige Sicherheitsupdates.

  • Layer Bloat: Unkontrolliert wachsende Software-Stacks erschweren die Übersicht und erhöhen die Angriffsfläche.

Yocto als „Compliance Engine“

Die Lösung liegt in der vollständigen Beherrschung des Systems. Yocto fungiert hierbei als leistungsstarke Compliance Engine. Durch absolut reproduzierbare Builds und den direkten Zugriff auf den Quellcode ermöglicht es eine Transparenz, die für regulatorische Anforderungen unerlässlich ist.

Yocto unterstützt die CRA-Vorgaben bereits nativ durch integrierte Werkzeuge:

  • Automatisierte SBoM-Generierung: Erstellung lückenloser Software Bill of Materials.

  • Integriertes Lizenzmanagement: Rechtssicherheit über den gesamten Stack.

  • CVE-Checking: Frühzeitiges Identifizieren und Beheben bekannter Schwachstellen im Build-Prozess.

Sicherheit über den gesamten Lebenszyklus

Abschließend zeigt die Präsentation, warum eine moderne Security-Strategie über das reine Build-System hinausgehen muss. Erfahren Sie, warum gut getestete, image-basierte und signierte Updates die Grundvoraussetzung sind, um Embedded-Linux-Produkte über Jahre hinweg sicher und rechtskonform am Markt zu halten.

Hier Vortragsfolien herunterladen:

Beyond the Release: Managing Long-Term Risk and Compliance in Embedded Linux with Yocto (PDF)

Haben Sie Fragen?

Anna-Lena Marx

Senior Embedded Systems Engineer