W lutym 2022 r. amerykański Narodowy Instytut Norm i Techniki (NIST) opublikował wersję 1.1 ramowych wytycznych dotyczących bezpiecznego tworzenia oprogramowania (SSDF). Jest to zbiór kompleksowych wskazówek dotyczących bezpiecznych praktyk tworzenia oprogramowania, które powstały w odpowiedzi na rozporządzenie wykonawcze w sprawie cyberbezpieczeństwa z 2021 r. (EO) 14028.
W ramach tych wymagań rząd USA może zażądać listy komponentów oprogramowania (SBOM), która zawiera komponenty wersji oprogramowania.
Listy SBOM są generowane automatycznie w przypadku kompilacji ciągłej integracji Androida (Android CI). Jeśli używasz jednej z kompilacji CI, wykonaj te czynności, aby uzyskać SBOM dla kompilacji. W przeciwnym razie wykonaj czynności opisane w artykule na temat generowania niestandardowego pliku SBOM.
Pobieranie wstępnie wygenerowanego SBOM
Aby uzyskać wygenerowany wcześniej plik SBOM:
W przeglądarce otwórz
ci.android.com.W polu Wpisz nazwę gałęzi wpisz
aosp-android-latest-release.W przypadku dowolnej kompilacji o zielonym stanie kliknij strzałkę w dół obok opcji Wyświetl artefakty. Wyświetli się ekran Tworzenie artefaktów.
Na ekranie Artefakty kompilacji użyj polecenia wyszukiwania, aby znaleźć folder SBOM JSON (CTRL+F lub CMD+F).
Generowanie niestandardowego wykazu materiałów
W przypadku wszystkich dodatków do platformy, w tym wszystkich plików binarnych lub łańcuchów narzędzi do kompilacji i wydawania, musisz podać reprezentację SBOM swojego produktu, która spełnia wymagania minimalnych elementów dla listy materiałów oprogramowania (SBOM). Aby wygenerować niestandardowy plik SBOM:
Aby skonfigurować środowisko i utworzyć SBOM, uruchom te polecenia:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETodnosi się do tego samego celu kompilacji, którego używasz do kompilowania Androida, np.aosp_arm64-userdebug.Aby upewnić się, że SBOM został utworzony prawidłowo, wykonaj to polecenie:
$ ls out/dist/sbom*