Membuat tagihan bahan perangkat lunak (SBOM)

Pada Februari 2022, National Institute of Standards and Technology (NIST) memublikasikan versi 1.1 dari Secure Software Development Framework (SSDF), serangkaian panduan komprehensif tentang praktik pengembangan software yang aman sebagai respons terhadap 2021 Cybersecurity Executive Order (EO) 14028.

Sebagai bagian dari persyaratan ini, pemerintah AS mungkin meminta software bill of materials (SBOM), yang mencantumkan komponen rilis software.

SBOM dibuat secara otomatis untuk build Android Continuous Integration (Android CI). Jika Anda menggunakan salah satu build CI, gunakan langkah-langkah berikut untuk mendapatkan SBOM untuk build. Jika tidak, ikuti langkah-langkah untuk membuat SBOM kustom.

Mendapatkan SBOM yang dibuat sebelumnya

Untuk mendapatkan SBOM yang telah dibuat sebelumnya:

  1. Di browser, buka ci.android.com.

  2. Di kolom Masukkan nama cabang, ketik aosp-main.

  3. Untuk build apa pun dengan status hijau, klik panah bawah Lihat artefak. Layar Build artifacts akan muncul.

  4. Di layar Artefak build, gunakan perintah temukan untuk menemukan file JSON SBOM (CTRL+F atau CMD+F).

Membuat SBOM kustom

Untuk setiap penambahan ke platform, termasuk rantai alat build dan rilis biner, Anda harus memberikan representasi SBOM produk yang memenuhi Elemen Minimal untuk Software Bill of Materials (SBOM). Untuk membuat SBOM kustom:

  1. Jalankan perintah berikut untuk menyiapkan lingkungan dan membangun SBOM:

    $ source build/envsetup.sh
    $ lunch TARGET
    $ m sbom # Generates an SBOM

    TARGET mengacu pada target build yang sama dengan yang Anda gunakan untuk membangun Android, seperti aosp_arm64-userdebug.

  2. Untuk memastikan SBOM dibuat dengan benar, jalankan:

    $ ls out/dist/sbom*