En février 2022, le National Institute of Standards and Technology (NIST) a publié la version 1.1 du Secure Software Development Framework (SSDF), un ensemble de consignes complètes sur les pratiques de développement de logiciels sécurisés en réponse à l'Executive Order (EO) 14028 de 2021 sur la cybersécurité.
Conformément à ces exigences, le gouvernement américain peut demander une BOM logicielle (SBOM), qui liste les composants d'une version logicielle.
Les SBOM sont générées automatiquement pour les builds d'intégration continue Android (Android CI). Si vous utilisez l'un des builds CI, procédez comme suit pour obtenir un SBOM pour une compilation. Sinon, suivez la procédure pour générer un SBOM personnalisé.
Obtenir un SBOM prégénéré
Pour obtenir un SBOM prégénéré:
Dans votre navigateur, accédez à
ci.android.com.Dans le champ Enter a branch name (Saisir un nom de branche), saisissez
aosp-main.Pour les builds dont l'état est vert, cliquez sur la flèche vers le bas Afficher les artefacts. L'écran "Artefacts de compilation" s'affiche.
Dans l'écran "Artefacts de compilation", utilisez une commande de recherche pour localiser le fichier JSON du SBOM (CTRL+F ou CMD+F).
Générer un SBOM personnalisé
Pour toute addition à la plate-forme, y compris les chaînes d'outils binaires ou de compilation et de publication, vous devez fournir une représentation de votre produit sous forme de nomenclature logicielle (SBOM) conforme aux éléments minimaux pour une nomenclature logicielle (SBOM). Pour générer un SBOM personnalisé:
Exécutez les commandes suivantes pour configurer votre environnement et créer le SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETfait référence à la même cible de compilation que vous utilisez pour compiler Android, par exempleaosp_arm64-userdebug.Pour vous assurer que le SBOM a été correctement créé, exécutez la commande suivante:
$ ls out/dist/sbom*