W lutym 2022 r. Narodowy Instytut Standardów i Technologii (NIST) opublikował wersję 1.1 Secure Software Development Framework (SSDF) , czyli zestawu kompleksowych wytycznych dotyczących praktyk tworzenia bezpiecznego oprogramowania w odpowiedzi na rozporządzenie wykonawcze w sprawie cyberbezpieczeństwa (EO) 14028 z 2021 r .
W ramach tych wymagań rząd Stanów Zjednoczonych może zażądać zestawienia komponentów oprogramowania (SBOM) , które zawiera listę składników danej wersji oprogramowania.
SBOM są generowane automatycznie dla kompilacji ciągłej integracji systemu Android (Android CI). Jeśli używasz jednej z kompilacji CI, wykonaj poniższe kroki, aby uzyskać SBOM dla kompilacji . W przeciwnym razie wykonaj kroki, aby wygenerować niestandardowy plik SBOM .
Uzyskaj wstępnie wygenerowany SBOM
Aby uzyskać wstępnie wygenerowany SBOM:
W przeglądarce przejdź do
ci.android.com
.W polu Wprowadź nazwę oddziału wpisz
aosp-main
.W przypadku dowolnej kompilacji ze statusem zielonym kliknij strzałkę w dół Wyświetl artefakty . Zostanie wyświetlony ekran Artefakty kompilacji.
Na ekranie Tworzenie artefaktów użyj polecenia find, aby zlokalizować plik SBOM JSON ( CTRL+F lub CMD+F ).
Wygeneruj niestandardowy SBOM
W przypadku jakichkolwiek dodatków do platformy, w tym wszelkich łańcuchów narzędzi binarnych lub narzędzi do kompilacji i wydawania, należy dostarczyć reprezentację SBOM swojego produktu, która spełnia minimalne elementy zestawienia materiałów oprogramowania (SBOM) . Aby wygenerować niestandardowy SBOM:
Uruchom następujące polecenia, aby skonfigurować środowisko i zbudować SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOM
TARGET
odnosi się do tego samego celu kompilacji, którego używasz do tworzenia systemu Android, na przykładaosp_arm64-userdebug
.Aby upewnić się, że SBOM został poprawnie zbudowany, wykonaj:
$ ls out/dist/sbom*