في فبراير 2022، نشر المعهد الوطني للمعايير والتكنولوجيا (NIST) الإصدار 1.1 من إطار عمل تطوير البرمجيات الآمنة (SSDF) ، وهو عبارة عن مجموعة من الإرشادات الشاملة حول ممارسات تطوير البرمجيات الآمنة استجابةً للأمر التنفيذي للأمن السيبراني (EO) 14028 لعام 2021 .
وكجزء من هذه المتطلبات، قد تطلب حكومة الولايات المتحدة قائمة مواد البرنامج (SBOM) ، والتي تسرد مكونات إصدار البرنامج.
يتم إنشاء SBOMs تلقائيًا لإصدارات Android Continious Integration (Android CI). إذا كنت تستخدم أحد إصدارات CI، استخدم الخطوات التالية للحصول على SBOM للإصدار . بخلاف ذلك، اتبع الخطوات لإنشاء SBOM مخصص .
الحصول على SBOM مُنشأ مسبقًا
للحصول على SBOM مُنشأ مسبقًا:
في متصفحك، انتقل إلى
ci.android.com.في الحقل أدخل اسم الفرع ، اكتب
aosp-main.بالنسبة لأي من الإصدارات ذات الحالة الخضراء، انقر فوق السهم لأسفل عرض العناصر . تظهر شاشة إنشاء العناصر.
في شاشة إنشاء العناصر، استخدم أمر البحث لتحديد موقع ملف SBOM JSON ( CTRL+F أو CMD+F ).
إنشاء SBOM مخصص
بالنسبة لأي إضافات إلى النظام الأساسي، بما في ذلك أي سلاسل أدوات ثنائية أو أدوات إنشاء وإصدار، يجب عليك تقديم تمثيل SBOM لمنتجك الذي يلبي الحد الأدنى من العناصر الخاصة بقائمة مواد البرنامج (SBOM) . لإنشاء SBOM مخصص:
قم بتشغيل الأوامر التالية لإعداد بيئتك وإنشاء SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMيشير
TARGETإلى نفس هدف البناء الذي تستخدمه لإنشاء Android، مثلaosp_arm64-userdebug.للتأكد من بناء SBOM بشكل صحيح، قم بتنفيذ:
$ ls out/dist/sbom*