Vào tháng 2 năm 2022, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã xuất bản phiên bản 1.1 của Khung Phát triển Phần mềm An toàn (SSDF) , một bộ hướng dẫn toàn diện về thực hành phát triển phần mềm an toàn nhằm đáp ứng Sắc lệnh Điều hành An ninh mạng (EO) 14028 năm 2021 .
Là một phần của những yêu cầu này, chính phủ Hoa Kỳ có thể yêu cầu danh sách vật liệu phần mềm (SBOM) , trong đó liệt kê các thành phần của bản phát hành phần mềm.
SBOM được tạo tự động cho các bản dựng Tích hợp liên tục của Android (Android CI). Nếu bạn sử dụng một trong các bản dựng CI, hãy làm theo các bước sau để lấy SBOM cho bản dựng . Nếu không, hãy làm theo các bước để tạo SBOM tùy chỉnh .
Lấy SBOM được tạo trước
Để có được SBOM được tạo trước:
Trong trình duyệt của bạn, hãy điều hướng đến
ci.android.com.Trong trường Nhập tên chi nhánh , nhập
aosp-main.Đối với bất kỳ bản dựng nào có trạng thái màu xanh lục, hãy nhấp vào mũi tên xuống Xem hiện vật . Màn hình Tạo tác xây dựng xuất hiện.
Trong màn hình Xây dựng tạo phẩm, sử dụng lệnh find để định vị tệp JSON SBOM ( CTRL+F hoặc CMD+F ).
Tạo SBOM tùy chỉnh
Đối với bất kỳ bổ sung nào cho nền tảng, bao gồm bất kỳ chuỗi công cụ nhị phân hoặc xây dựng và phát hành nào, bạn phải cung cấp bản trình bày SBOM cho sản phẩm của mình đáp ứng Các yếu tố tối thiểu cho Hóa đơn vật liệu phần mềm (SBOM) . Để tạo SBOM tùy chỉnh:
Chạy các lệnh sau để thiết lập môi trường của bạn và xây dựng SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETđề cập đến cùng một mục tiêu xây dựng mà bạn đang sử dụng để xây dựng Android, chẳng hạn nhưaosp_arm64-userdebug.Để đảm bảo SBOM được xây dựng chính xác, hãy thực thi:
$ ls out/dist/sbom*