Im Februar 2022 hat das National Institute of Standards and Technology (NIST) Version 1.1 des Secure Software Development Framework (SSDF) veröffentlicht, einer Reihe umfassender Richtlinien zu Praktiken der sicheren Softwareentwicklung als Reaktion auf die 2021 Cybersecurity Executive Order (EO) 14028.
Im Rahmen dieser Anforderungen kann die US-Regierung eine Softwareliste (SBOM) anfordern, in der die Komponenten eines Softwarerelease aufgeführt sind.
SBOMs werden automatisch für Android CI-Builds (Android Continuous Integration) generiert. Wenn Sie einen der CI-Builds verwenden, führen Sie die folgenden Schritte aus, um ein SBOM für einen Build abzurufen. Folgen Sie andernfalls der Anleitung zum Generieren einer benutzerdefinierten SBOM.
Vorgenerierte SBOM abrufen
So rufen Sie eine vorgenerierte SBOM ab:
Rufen Sie in Ihrem Browser
ci.android.com
auf.Geben Sie im Feld Enter a branch name (Branch-Name eingeben) den Wert
aosp-main
ein.Klicken Sie für alle Builds mit grünem Status auf den Abwärtspfeil Artefakte ansehen. Der Bildschirm „Build-Artefakte“ wird angezeigt.
Verwenden Sie im Bildschirm "Build-Artefakte" einen Suchbefehl, um die SBOM-JSON-Datei zu finden (Strg+F oder CMD+F).
Benutzerdefinierte SBOM generieren
Für alle Ergänzungen der Plattform, einschließlich Binär- und Build- und Release-Toolketten, müssen Sie eine SBOM-Darstellung Ihres Produkts bereitstellen, die die Mindestelemente für eine Softwareliste (SBOM) erfüllt. So generieren Sie eine benutzerdefinierte SBOM:
Führen Sie die folgenden Befehle aus, um die Umgebung einzurichten und die SBOM zu erstellen:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOM
Das
TARGET
bezieht sich auf das Build-Ziel, das Sie zum Erstellen von Android verwenden, z. B.aosp_arm64-userdebug
.Führen Sie folgenden Befehl aus, damit die SBOM korrekt erstellt wird:
$ ls out/dist/sbom*