Em fevereiro de 2022, o Instituto Nacional de Padrões e Tecnologia (NIST) publicou a versão 1.1 do Framework de Desenvolvimento de Software Seguro (SSDF, na sigla em inglês), um conjunto abrangente de diretrizes sobre práticas de desenvolvimento de software seguro, em resposta à Ordem Executiva (EO, na sigla em inglês) de Segurança Cibernética de 2021, 14028 (links em inglês).
Como parte desses requisitos, o governo dos EUA pode solicitar uma lista de materiais de software (SBOM, na sigla em inglês), que informa os componentes de uma versão de software.
As SBOMs são geradas automaticamente para builds de integração contínua do Android (Android CI). Se você usar um dos builds de CI, siga as etapas abaixo para receber uma lista de materiais de software para um build. Caso contrário, siga as etapas para gerar uma lista de materiais de software personalizada.
Extrair uma lista de materiais de software previamente gerada
Para extrair uma lista de materiais de software previamente gerada:
No navegador, acesse
ci.android.com.No campo Enter branch name (insira o nome da ramificação), digite
aosp-main.Nas versões com status verde, clique na seta para baixo View artifacts (visualizar artefatos). A tela de artefatos do build vai aparecer.
Na tela de artefatos, use um comando de localização para encontrar o arquivo SBOM JSON (CTRL+F ou CMD+F).
Gerar uma lista de materiais de software personalizada
Para outras adições à plataforma, incluindo binário ou build e cadeias de ferramentas de versão, é preciso fornecer uma representação da lista de materiais de software do produto que atenda aos Elementos mínimos da lista de materiais de software (SBOM) (link em inglês). Para gerar uma lista de materiais de software personalizada:
Execute os comandos abaixo para configurar o ambiente e criar a lista de materiais de software:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMO
TARGETse refere ao mesmo destino de build que você está usando para criar o build do Android, comoaosp_arm64-userdebug.Para garantir a versão correta da lista de materiais de software, execute:
$ ls out/dist/sbom*