ในเดือนกุมภาพันธ์ 2022 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้เผยแพร่ Secure Software Development Framework (SSDF) เวอร์ชัน 1.1 ซึ่งเป็นชุดหลักเกณฑ์ที่ครอบคลุมเกี่ยวกับแนวทางปฏิบัติในการพัฒนาซอฟต์แวร์ที่ปลอดภัยเพื่อตอบสนองต่อ Cybersecurity Executive Order (EO) 14028 ฉบับปี 2021
จากข้อกำหนดเหล่านี้ รัฐบาลสหรัฐอเมริกาอาจขอใบเรียกเก็บเงินค่าซอฟต์แวร์ (SBOM) ซึ่งแสดงส่วนประกอบของการเผยแพร่ซอฟต์แวร์
ระบบจะสร้าง SBOM โดยอัตโนมัติสำหรับบิลด์การผสานรวม Android อย่างต่อเนื่อง (Android CI) หากคุณใช้บิลด์ CI ให้ใช้ขั้นตอนต่อไปนี้เพื่อรับ SBOM สำหรับบิลด์ หรือไม่เช่นนั้น ให้ทำตามขั้นตอนเพื่อสร้าง SBOM ที่กำหนดเอง
รับ SBOM ที่สร้างไว้ล่วงหน้า
หากต้องการรับ SBOM ที่สร้างไว้ล่วงหน้า ให้ทำดังนี้
ไปที่
ci.android.com
ในเบราว์เซอร์ในช่องป้อนชื่อสาขา ให้พิมพ์
aosp-main
สำหรับบิลด์ที่มีสถานะสีเขียว ให้คลิกลูกศรลงดูอาร์ติแฟกต์ หน้าจอบิลด์อาร์ติแฟกต์จะปรากฏขึ้น
ในหน้าจออาร์ติแฟกต์ของบิลด์ ให้ใช้คำสั่ง find เพื่อค้นหาไฟล์ JSON SBOM (Ctrl+F หรือ CMD+F)
สร้าง SBOM ที่กำหนดเอง
สำหรับการเพิ่มลงในแพลตฟอร์ม รวมถึงเชนเครื่องมือแบบไบนารีหรือบิลด์และการเปิดตัว คุณต้องแสดง SBOM ของผลิตภัณฑ์ที่เป็นไปตามองค์ประกอบขั้นต่ำสำหรับใบแจ้งหนี้ของซอฟต์แวร์ (SBOM) วิธีสร้าง SBOM ที่กำหนดเอง
เรียกใช้คำสั่งต่อไปนี้เพื่อตั้งค่าสภาพแวดล้อมและสร้าง SBOM
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOM
TARGET
คือเป้าหมายบิลด์เดียวกันกับที่คุณใช้เพื่อสร้าง Android เช่นaosp_arm64-userdebug
หากต้องการตรวจสอบว่า SBOM สร้างขึ้นอย่างถูกต้อง ให้เรียกใช้คำสั่งต่อไปนี้
$ ls out/dist/sbom*