2022 年 2 月,美國國家標準與技術研究院 (NIST) 發布了安全軟體開發框架 (SSDF) 1.1 版,這是響應2021 年網路安全行政命令 (EO) 14028 的一套關於安全軟體開發實踐的綜合指南。
作為這些要求的一部分,美國政府可能會要求提供軟體物料清單 (SBOM) ,其中列出了軟體版本的元件。
SBOM 是為 Android 持續整合 (Android CI) 版本自動產生的。如果您使用 CI 建置之一,請使用下列步驟取得建置的 SBOM 。否則,請按照以下步驟產生自訂 SBOM 。
取得預先生成的 SBOM
若要取得預先產生的 SBOM:
在瀏覽器中,導航至
ci.android.com
。在輸入分支名稱欄位中,輸入
aosp-main
。對於任何處於綠色狀態的構建,請按一下“查看工件”向下箭頭。將出現“建置工件”畫面。
在「建置工件」畫面中,使用 find 指令尋找 SBOM JSON 檔案( CTRL+F或CMD+F )。
產生自訂 SBOM
對於平台的任何添加,包括任何二進位或建置和發布工具鏈,您必須提供符合軟體物料清單 (SBOM) 最小元素的產品的 SBOM 表示。要產生自訂 SBOM:
執行以下命令來設定環境並建置 SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOM
TARGET
指的是您用於建立 Android 的相同建置目標,例如aosp_arm64-userdebug
。為了確保正確建置 SBOM,請執行:
$ ls out/dist/sbom*