Pada bulan Februari 2022, Institut Standar dan Teknologi Nasional (NIST) menerbitkan Kerangka Pengembangan Perangkat Lunak Aman (SSDF) versi 1.1, serangkaian pedoman komprehensif tentang praktik pengembangan perangkat lunak yang aman sebagai tanggapan terhadap Perintah Eksekutif Keamanan Siber (EO) 14028 2021 .
Sebagai bagian dari persyaratan ini, pemerintah AS mungkin meminta tagihan bahan perangkat lunak (SBOM) , yang berisi daftar komponen rilis perangkat lunak.
SBOM dibuat secara otomatis untuk build Android Continuous Integration (Android CI). Jika Anda menggunakan salah satu build CI, gunakan langkah-langkah berikut untuk mendapatkan SBOM untuk build . Jika tidak, ikuti langkah-langkah untuk membuat SBOM khusus .
Dapatkan SBOM yang telah dibuat sebelumnya
Untuk mendapatkan SBOM yang telah dibuat sebelumnya:
Di browser Anda, navigasikan ke
ci.android.com.Di bidang Masukkan nama cabang , ketik
aosp-main.Untuk bangunan mana pun yang berstatus hijau, klik panah bawah Lihat artefak . Layar Bangun artefak muncul.
Di layar Bangun artefak, gunakan perintah find untuk menemukan file SBOM JSON ( CTRL+F atau CMD+F ).
Hasilkan SBOM khusus
Untuk penambahan apa pun pada platform, termasuk rantai alat biner atau pembuatan dan rilis, Anda harus memberikan representasi SBOM produk Anda yang memenuhi Elemen Minimal untuk Bill of Materials Perangkat Lunak (SBOM) . Untuk menghasilkan SBOM khusus:
Jalankan perintah berikut untuk menyiapkan lingkungan Anda dan membangun SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETmengacu pada target pembangunan yang sama yang Anda gunakan untuk membangun Android, sepertiaosp_arm64-userdebug.Untuk memastikan SBOM dibuat dengan benar, jalankan:
$ ls out/dist/sbom*