ในเดือนกุมภาพันธ์ ปี 2022 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้เผยแพร่ Secure Software Development Framework (SSDF) เวอร์ชัน 1.1 ซึ่งเป็นชุดแนวทางที่ครอบคลุมเกี่ยวกับแนวทางปฏิบัติในการพัฒนาซอฟต์แวร์ที่ปลอดภัย เพื่อตอบสนองต่อ คำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ (EO) 14028 ปี 2021
ตามข้อกำหนดเหล่านี้ รัฐบาลสหรัฐฯ อาจขอ รายการวัสดุซอฟต์แวร์ (SBOM) ซึ่งแสดงรายการส่วนประกอบของการเปิดตัวซอฟต์แวร์
SBOM จะถูกสร้างขึ้นโดยอัตโนมัติสำหรับบิลด์ Android Continuous Integration (Android CI) หากคุณใช้ CI builds อย่างใดอย่างหนึ่ง ให้ใช้ขั้นตอนต่อไปนี้เพื่อ ขอรับ SBOM สำหรับ build มิฉะนั้น ให้ทำตามขั้นตอนเพื่อ สร้าง SBOM แบบกำหนดเอง
รับ SBOM ที่สร้างไว้ล่วงหน้า
หากต้องการรับ SBOM ที่สร้างไว้ล่วงหน้า:
ในเบราว์เซอร์ของคุณ ให้ไปที่
ci.android.com
ในฟิลด์ ป้อนชื่อสาขา ให้พิมพ์
aosp-main
สำหรับรุ่นใดๆ ที่มีสถานะสีเขียว ให้คลิกลูกศรลง ดูสิ่งประดิษฐ์ หน้าจอสร้างสิ่งประดิษฐ์จะปรากฏขึ้น
ในหน้าจอ Build artifacts ให้ใช้คำสั่ง find เพื่อค้นหาไฟล์ SBOM JSON ( CTRL+F หรือ CMD+F )
สร้าง SBOM แบบกำหนดเอง
สำหรับการเพิ่มเติมใด ๆ ในแพลตฟอร์ม รวมถึงไบนารีหรือ build and release tool chains คุณต้องจัดเตรียม SBOM การแสดงผลิตภัณฑ์ของคุณที่ตรงตาม Minimal Elements for a Software Bill of Materials (SBOM) หากต้องการสร้าง SBOM แบบกำหนดเอง:
รันคำสั่งต่อไปนี้เพื่อตั้งค่าสภาพแวดล้อมของคุณและสร้าง SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOM
TARGET
อ้างถึงเป้าหมายบิลด์เดียวกันกับที่คุณใช้ในการสร้าง Android เช่นaosp_arm64-userdebug
เพื่อให้แน่ใจว่า SBOM สร้างขึ้นอย่างถูกต้อง ให้ดำเนินการ:
$ ls out/dist/sbom*