revenue7-eng/tactiq-os

# meta-tactiq 用于 TactiQ OS 的 Yocto layer —— 一个经过安全强化的嵌入式 Linux 发行版， 专为 Rockchip RK3588 及兼容 ARM64 目标上的边缘 AI 部署而设计。 ## 范围 - `conf/distro/tactiq.conf` — systemd + SELinux + TPM2 + seccomp + RAUC；强化的 CFLAGS；启用 reproducible-binaries 标志；启用 `sbom-cve-check`；启用 source archiver。 - `conf/machine/*` — Rock 5A、Rock 5B、Rock 5T、通用 ARM64、qemu-x86_64。 - `recipes-core/images/tactiq-image.bb` — 生产镜像配置，只读 rootfs，root 账户锁定，无 SSH 服务器，继承 `create-spdx`（每次构建生成 SPDX 3.0 SBOM）。这是用于带标签发布构建的规范 recipe。 - `recipes-core/images/tactiq-image-dev.bb` — 开发配置，保留了 `debug-tweaks` 和 `ssh-server-openssh` 以用于调试启动（bring-up）。绝不作为发布制品（artifact）签名；CI 防护机制确保生产 recipe 保持强化状态。 - `recipes-core/rauc/` — RAUC A/B 更新配置。开发环（keyring）保留在代码树内以保证开发路径的可重现性；生产构建通过 CI 密钥覆盖 `RAUC_KEYRING_FILE`。 - `recipes-core/tactiq-{agent,config,release}` — 证明代理（attestation agent，基于 Ed25519，以非特权用户 `tactiq-agent` 身份运行，并配备完整的 systemd 沙箱机制）、运行时配置、嵌入在 `/etc/tactiq-release` 的构建信息。 - `recipes-kernel/linux/` — 锁定 linux-yocto 6.6 LTS 版本，安全 fragment 启用了 IMA、SELinux 及内核锁定（lockdown）基础工作。一个同级的 bbappend 为 `linux-rockchip`（由 rock5b machine 使用）同步了该 fragment。 ## 架构原则 关于该 layer 背后按领域划分的设计依据 —— 当前发布实现了什么、正在跟踪但尚未交付的内容，以及哪些超出了范围 —— 请参阅 [`DESIGN_PRINCIPLES.md`](DESIGN_PRINCIPLES.md)。 内容按照从源码归档到运行时 证明代理的信任链 进行组织。 关于综合对手模型 —— TactiQ OS 旨在防御什么、应对哪些类别的对手，以及信任边界划在何处 —— 位于 [`THREAT_MODEL.md`](THREAT_MODEL.md)。 关于证明框架的架构规范 —— 设备被构建为向远程方证明什么、代理正致力于实现的协议，以及在当前实现阶段证明涵盖了什么及不涵盖什么 —— 位于 [`ATTESTATION.md`](ATTESTATION.md)。 关于内核强化态势 —— LSM 选择、IMA 配置、模块签名、内存与执行强化，以及将当前态势转向强制模式（enforcing）的过渡阶段 —— 位于 [`KERNEL_HARDENING.md`](KERNEL_HARDENING.md)。 关于从硅根（silicon root）到运行中证明代理的信任链 —— 每个阶段验证和度量了什么、信任链锚定在哪里，以及当前发布中每个阶段的状态 —— 位于 [`BOOT_CHAIN.md`](BOOT_CHAIN.md)。 ## 供应链态势 自我评估，非认证。关于按 SLSA 要求划分的明细 —— 目前已落实了什么、正在跟踪什么、明确不做什么 —— 请参阅 [`SUPPLY_CHAIN.md`](SUPPLY_CHAIN.md)。 简述版本： | 领域 | 状态 | |------------------------|--------------------------------------------------------| | SBOM | 每次构建生成 SPDX 3.0 (Yocto `create-spdx`) | | CVE 扫描 | 启用 `sbom-cve-check` — 每次构建生成 CVE 报告 | | 可重现构建 (Reproducible builds) | `BUILD_REPRODUCIBLE_BINARIES=1`，锁定内核版本 | | 构建溯源 (Build provenance) | 通过 `actions/attest-build-provenance` (Sigstore) 对带标签的源码归档进行签名的 SLSA 溯源 | | 源码归档 | Yocto `archiver` (保留原始源码) | | SLSA 目标 | L2 态势；L3 工作正在进行中 | ## 构建 有关参考本地工作流，请参阅 `scripts/run-qemu.sh`。 受支持的 machine：`tactiq-qemu-x86`、`tactiq-rock5a`、`tactiq-rock5b`、 `tactiq-rock5t`、`tactiq-generic-arm64`。 ## 硬件支持与性能报告 目标平台：Rock 5A (RK3588S)、Rock 5B (RK3588)、Rock 5T (RK3588)、 通过 Yocto machine 配置的通用 ARM64。此外还支持额外的 RK3588 系列主板 以及 `qemu-x86_64` 配置，用于构建和功能验证。 性能指标根据我们的测量标准进行发布： 涵盖不同主板单元的多样本方差、持续负载下的散热包络（thermal envelopes），以及来自代表性工作负载的运行时数据。发布遵循完整的 认证周期。 特定于主板的认证数据一旦发布，将提供 本节的链接。 ## 许可证 除非按文件另有说明，否则均采用 MIT 许可证。

标签：ARM64, SBOM, Yocto, 子域名枚举, 嵌入式Linux, 硬件无关, 系统安全, 边缘AI