في فبراير 2022، نشر المعهد الوطني للمعايير والتكنولوجيا (NIST) الإصدار 1.1 من إطار عمل تطوير البرامج الآمن (SSDF)، وهو مجموعة من الإرشادات الشاملة حول ممارسات تطوير البرامج الآمنة استجابةً للأمر التنفيذي بشأن الأمن السيبراني لعام 2028 (EO) لعام 2021.
وكجزء من هذه المتطلبات، قد تطلب حكومة الولايات المتحدة فاتورة مواد البرامج (SBOM) التي تسرد مكوّنات أي إصدار من البرنامج.
يتم إنشاء نماذج SBOM تلقائيًا لإصدارات Android Continuous Integration (Android CI). إذا كنت تستخدم أحد إصدارات CI، اتّبِع الخطوات التالية للحصول على SBOM لإصدار. بخلاف ذلك، اتّبِع الخطوات لإنشاء SBOM مخصّص.
الحصول على مخطط SBOM تم إنشاؤه مسبقًا
للحصول على مخطط SBOM الذي تم إنشاؤه مسبقًا:
في المتصفّح، انتقِل إلى
ci.android.com.في الحقل إدخال اسم الفرع، اكتب
aosp-main.بالنسبة إلى أي من التصميمات ذات الحالة الخضراء، انقر على السهم المتّجه للأسفل عرض العناصر. ستظهر لك شاشة "إنشاء عناصر".
في شاشة إنشاء العناصر، استخدِم أمر البحث لتحديد موقع ملف SBOM JSON (CTRL+F أو CMD+F).
إنشاء SBOM مخصّص
بالنسبة إلى أي إضافات إلى المنصة، بما في ذلك أي سلاسل ثنائية أو سلاسل أدوات الإصدار والإصدار، يجب تقديم تمثيل SBOM لمنتجك يلبّي العناصر الحدّ الأدنى لقائمة مواد البرامج (SBOM). لإنشاء SBOM مخصّص:
شغِّل الأوامر التالية لإعداد بيئتك وإنشاء نموذج SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMتشير
TARGETإلى نفس هدف الإصدار الذي تستخدمه لإصدار Android، مثلaosp_arm64-userdebug.لضمان إنشاء SBOM بشكل صحيح، نفِّذ ما يلي:
$ ls out/dist/sbom*