2022 年 2 月,美國國家標準暨技術研究院 (NIST) 發布了安全軟體開發架構 (SSDF) 1.1 版,該架構根據 2021 年網路安全行政命令 (EO) 14028 制定了一套有關安全軟體開發做法的全方位準則。
根據這些要求,美國政府可能會索取軟體物料清單 (SBOM),當中列出軟體發行的元件。
系統會自動為 Android 持續整合 (Android CI) 建構 SBOM。如果您使用其中一種 CI 版本,請按照下列步驟取得建構的 SBOM。否則,請按照相關步驟產生自訂 SBOM。
取得預先產生的 SBOM
如何取得預先產生的 SBOM:
透過瀏覽器前往
ci.android.com
。在「Enter a 分支版本 name」(輸入分支版本名稱) 欄位中,輸入
aosp-main
。針對任何具有綠色狀態的建構,按一下「Viewartifact」(查看構件) 向下箭頭。系統會隨即顯示「Build Artifact」畫面。
在「Build Artifact」畫面中,使用尋找指令找出 SBOM JSON 檔案 (CTRL+F 或 CMD+F)。
產生自訂 SBOM
如對平台新增任何項目 (包括任何二進位檔或建構和發布工具鍊),您必須針對符合軟體物料清單 (SBOM) 的最小元素 (SBOM) 提供的產品 SBOM 表示法。如何產生自訂 SBOM:
執行下列指令來設定環境並建構 SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOM
TARGET
是指您用來建構 Android 的同一個建構目標,例如aosp_arm64-userdebug
。為確保能正確建構 SBOM,請執行下列指令:
$ ls out/dist/sbom*