请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。
器件型号:CC2340R5-Q1 工具与软件:
您好、TI:
目前、我们公司使用 CC2340和 CC2745进行项目开发。 根据客户的要求,我们需要签署一份 FOSS 声明文件。 我们使用 BLACKDUCK 扫描了 TI 提供的 SDK、发现以下开源代码。 我们希望 TI 能协助您提供解决方案。
我们总共扫描了三个 SDK、并且在所有 SDK 中都检测到了相同的开源代码问题。 下面列出了基于扫描结果的推断原因。
| 否 | 元件实现的 | 供电方 | 匹配类型 | 匹配分数 | 用法 | 许可证 | 许可证风险 | 安全风险 | 操作风险 | BlackDuck 建议和 FII 要求 |
| 1. | BLE_EXAMPLES simplelink_cc2640r2_sdk-4.10.00.00 | 1个匹配项 | 文件已修改。 | 4% | 动态链接 | LGPL-2.1或更高版本 | 适当物理信号 | 高电平 | FII:Scan Results 表示 SDK 的\source\TI\ble5stack_flash\common\cc26xx\time 目录中有高风险相关文件、但在该目录中找不到相关文件。 但是、该目录中的代码与 Git 上 ble_examples simplelink_cc2640r2_sdk-4.10.00.00工程时间目录中的代码相同。 time 目录中的两组代码都获得了 TI 提供的许可证、没有 LGPL 许可证。 TI 是否采用了 LGPL 许可证来提供此部分开源代码? 如果是、FII 能否仅声明 TI 许可证? 或者 TI 能否在没有 LGPL 的情况下提供替代解决方案? | |
| 2. | FreeRTOS 实时内核 V10.5.1 | 16个匹配项 | 精确索引 | 79% | 动态链接 | 麻省理工学院 | 高电平 | 低电平 | BlackDuck:此版本存在明显的漏洞、需要更新到 v10.6.2或更高版本。 FII:我们希望 TI 能够将 SDK 中的此代码更新为新版本、或为我们提供符合更新要求的代码。 |
|
| 3. | mcuboot MCUBOOT_062_RC4 | 2个匹配项 | 文件已修改。 | 7% | 动态链接 | Apache-2.0 | 高电平 | BlackDuck:此版本于2020年4月16日更新、建议更新到新版本。 FII:我们希望 TI 能够将 SDK 中的此代码更新为新版本、或为我们提供符合更新要求的代码。 |
注意:我们已经扫描了 SDK 的三个版本、如下所示。
1.simplelinklowpower_f3_sdk_8_10_00_63_ea
2.simplelinklowpower_f3_sdk_8_10_00_46_eng
3.simplelinklowpower_f3_sdk_8_10_00_01_ea
祝您愉快!
James
2024.08.01
