wolf Bootloader 2.8.0发布，扩展大量单片机支持，加强了 PSA 与 TrustZone 的集成

eric2013

https://github.com/wolfSSL/wolfBoot

wolfBoot 2.8.0，这是一个重大更新版本，不仅扩展了平台支持，加强了 PSA 与 TrustZone 的集成，还在安全启动和固件更新流程方面实现了新一轮实质性的加固。

本次发布的突出亮点在于所支持的硬件范围之广。wolfBoot 2.8.0 新增或扩展了对以下平台的支持：AMD/Xilinx Versal Gen 1 VMK180、Microchip PolarFire SoC MPFS250、NXP MCXN、MCXW71、S32K14x、LPC55S69、NXP T1040 RDB、更新的 T2080 配置，以及 Nordic nRF54L15。对于需要在多个芯片系列间协同工作的产品团队而言，wolfBoot 持续展现出其作为高度可移植且一致可靠的安全启动解决方案的价值。

2.8.0 版本还为基于 PSA 的设计带来了重要进展。新增对 wolfPSA 安全存储、基于 TrustZone 的 PSA 服务、PSA 加密、PSA 认证以及基于 DICE 的认证流程的支持，使 wolfBoot 成为现代嵌入式安全架构更坚实的基础。此外，本版本用新的 Zephyr 集成替换了原有的 TEE 层，转而采用 PSA 接口，为构建基于安全 RTOS 系统的开发者提供了新选择。

现在，wolfBoot 已可作为完整的安全启动 + TEE（PSA）替代方案，用于运行 Zephyr OS 的 TrustZone 系统。

在产品集成方面，wolfBoot 2.8.0 新增了通用的钩子框架，支持预初始化、后初始化和启动定制，同时还提供了自定义加密密钥钩子、基于 PKCS11 的加密分区、改进的状态与镜像检查工具、单体自更新构建以及可重现构建支持。这些改进使得 wolfBoot 能更轻松地适应实际部署需求，同时保持代码库的紧凑和聚焦。

现有目标平台也从本次发布的大量工作中受益。亮点包括：改进的 STM32H5 TrustZone 与 PKCS11 集成、PSoC6 上的外部闪存双区更新、扩展的 AURIX TC3xx 自更新和 wolfHSM 配置、更新的 Renesas RA6M4 和 RX 项目，以及通过专用 CI 覆盖实现的更好的 clang/LLVM 支持。

一如既往，安全性和可靠性仍然是核心。wolfBoot 2.8.0 加固了镜像解析、签名和更新流程，在签名、TLV、增量镜像、分区布局和存储 I/O 方面引入了更严格的检查和更安全的处理。同时，扩展了敏感路径中的常量时间操作和内存清零，增加了更严格的回滚和闪存保护行为，并修复了支持架构和模拟目标上的一系列回归问题。

更新的模块
wolfSSL：最新稳定版
wolfTPM：最新版
wolfPKCS11：最新稳定版
wolfHSM：最新版

通过 2.8.0 版本，wolfBoot 持续成长为适用于嵌入式系统的、实用且可投入生产的安全启动加载程序，尤其适合那些需要强身份认证、可靠更新以及在快速扩展的硬件环境中保持可移植性的系统。