Vào tháng 2 năm 2022, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã phát hành phiên bản 1.1 của Khung phát triển phần mềm bảo mật (SSDF), một bộ nguyên tắc toàn diện về các phương pháp phát triển phần mềm bảo mật để đáp ứng Chỉ thị hành pháp (EO) 14028 về an ninh mạng năm 2021.
Theo yêu cầu này, chính phủ Hoa Kỳ có thể yêu cầu hoá đơn vật liệu phần mềm (SBOM), trong đó liệt kê các thành phần của bản phát hành phần mềm.
SBOM được tạo tự động cho các bản dựng Tích hợp liên tục Android (Android CI). Nếu bạn sử dụng một trong các bản dựng CI, hãy làm theo các bước sau để lấy SBOM cho một bản dựng. Nếu không, hãy làm theo các bước để tạo SBOM tuỳ chỉnh.
Lấy SBOM được tạo trước
Cách lấy SBOM được tạo sẵn:
Trong trình duyệt, hãy chuyển đến
ci.android.com.Trong trường Enter a branch name (Nhập tên nhánh), hãy nhập
aosp-main.Đối với bất kỳ bản dựng nào có trạng thái màu xanh lục, hãy nhấp vào mũi tên xuống Xem cấu phần phần mềm. Màn hình Cấu phần phần mềm bản dựng sẽ xuất hiện.
Trong màn hình Cấu phần phần mềm của bản dựng, hãy sử dụng lệnh tìm để xác định vị trí tệp JSON SBOM (CTRL+F hoặc CMD+F).
Tạo SBOM tuỳ chỉnh
Đối với mọi nội dung bổ sung cho nền tảng, bao gồm cả mọi chuỗi công cụ nhị phân hoặc bản dựng và phát hành, bạn phải cung cấp bản trình bày SBOM của sản phẩm đáp ứng Các phần tử tối thiểu cho Bảng kê khai thành phần phần mềm (SBOM). Cách tạo SBOM tuỳ chỉnh:
Chạy các lệnh sau để thiết lập môi trường và xây dựng SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETđề cập đến cùng một mục tiêu bản dựng mà bạn đang sử dụng để tạo Android, chẳng hạn nhưaosp_arm64-userdebug.Để đảm bảo SBOM được tạo chính xác, hãy thực thi:
$ ls out/dist/sbom*