Em fevereiro de 2022, o Instituto Nacional de Padrões e Tecnologia (NIST) publicou a versão 1.1 do Secure Software Development Framework (SSDF) , um conjunto de diretrizes abrangentes sobre práticas seguras de desenvolvimento de software em resposta à Ordem Executiva de Segurança Cibernética (EO) 14028 de 2021 .
Como parte desses requisitos, o governo dos EUA pode solicitar uma lista de materiais de software (SBOM) , que lista os componentes de uma versão de software.
SBOMs são gerados automaticamente para compilações de integração contínua do Android (Android CI). Se você usar um dos builds de CI, use as etapas a seguir para obter um SBOM para um build . Caso contrário, siga as etapas para gerar um SBOM personalizado .
Obtenha um SBOM pré-gerado
Para obter um SBOM pré-gerado:
No seu navegador, navegue até
ci.android.com.No campo Insira um nome de filial , digite
aosp-main.Para qualquer uma das compilações com status verde, clique na seta para baixo Exibir artefatos . A tela Construir artefatos é exibida.
Na tela Construir artefatos, use um comando find para localizar o arquivo JSON SBOM ( CTRL+F ou CMD+F ).
Gere um SBOM personalizado
Para quaisquer adições à plataforma, incluindo quaisquer cadeias de ferramentas binárias ou de construção e lançamento, você deve fornecer uma representação SBOM do seu produto que atenda aos Elementos Mínimos para uma Lista de Materiais de Software (SBOM) . Para gerar um SBOM personalizado:
Execute os seguintes comandos para configurar seu ambiente e construir o SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMO
TARGETrefere-se ao mesmo destino de compilação que você está usando para compilar o Android, comoaosp_arm64-userdebug.Para garantir que o SBOM seja construído corretamente, execute:
$ ls out/dist/sbom*