בפברואר 2022, המכון הלאומי לתקנים וטכנולוגיה (NIST) פרסם את גרסה 1.1 של מסגרת פיתוח תוכנה מאובטחת (SSDF) , קבוצה של קווים מנחים מקיפים על שיטות פיתוח תוכנה מאובטחות בתגובה לצו המנהלי של אבטחת סייבר (EO) 14028 משנת 2021 .
כחלק מדרישות אלה, ממשלת ארה"ב עשויה לבקש קובץ תוכנה (SBOM) , המפרט רכיבים של מהדורת תוכנה.
SBOMs נוצרים אוטומטית עבור בניית Android Continuous Integration (Android CI). אם אתה משתמש באחד ממבני ה-CI, השתמש בשלבים הבאים כדי להשיג SBOM עבור build . אחרת, בצע את השלבים ליצירת SBOM מותאם אישית .
השג SBOM שנוצר מראש
כדי להשיג SBOM שנוצר מראש:
בדפדפן שלך, נווט אל
ci.android.com.בשדה הזן שם סניף , הקלד
aosp-main.עבור כל אחד מהתבניות עם סטטוס ירוק, לחץ על החץ הצג חפצים למטה. המסך Build artifacts מופיע.
במסך Build artifacts, השתמש בפקודה find כדי לאתר את קובץ SBOM JSON ( CTRL+F או CMD+F ).
צור SBOM מותאם אישית
עבור כל תוספות לפלטפורמה, לרבות כל שרשרת כלי בינארית או בנייה והפצה, עליך לספק ייצוג SBOM של המוצר שלך העומד באלמנטים המינימליים עבור תוכנת ביל אוף חומרים (SBOM) . כדי ליצור SBOM מותאם אישית:
הפעל את הפקודות הבאות כדי להגדיר את הסביבה שלך ולבנות את ה-SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMה-
TARGETמתייחס לאותו יעד בנייה שבו אתה משתמש לבניית אנדרואיד, כגוןaosp_arm64-userdebug.כדי להבטיח שה-SBOM בנוי בצורה נכונה, בצע:
$ ls out/dist/sbom*