في شباط (فبراير) 2022، أصدر المعهد الوطني للمعايير والتكنولوجيا (NIST) الإصدار 1.1 من إطار عمل تطوير البرامج الآمنة (SSDF)، وهو مجموعة من الإرشادات الشاملة حول ممارسات تطوير البرامج الآمنة، وذلك استجابةً لالأمر التنفيذي رقم 14028 الصادر في عام 2021 بشأن الأمن السيبراني.
كجزء من هذه المتطلبات، قد تطلب حكومة الولايات المتحدة قائمة مواد البرنامج (SBOM) التي تسرد مكونات إصدار البرنامج.
يتم إنشاء ملفات SBOM تلقائيًا لعمليات إنشاء التكامل المستمر لنظام التشغيل Android (Android CI). إذا كنت تستخدم أحد إصدارات CI، اتّبِع الخطوات التالية للحصول على SBOM لإصدار. بخلاف ذلك، اتّبِع الخطوات اللازمة لإنشاء ملف معلومات إدارة سلسلة الإمداد (SBOM) مخصّص.
الحصول على قائمة إدارة سلسلة الإمداد (SBOM) تم إنشاؤها مسبقًا
للحصول على مخطط SBOM الذي تم إنشاؤه مسبقًا:
في المتصفّح، انتقِل إلى
ci.android.com.في الحقل إدخال اسم الفرع، اكتب
aosp-main.بالنسبة إلى أيّ من النُسخ التي تحمل حالة خضراء، انقر على عرض العناصر السهم المتّجه للأسفل. ستظهر لك شاشة "إنشاء عناصر".
في شاشة "عناصر البناء"، استخدِم الأمر find لتحديد موقع ملف SBOM بتنسيق JSON (CTRL+F أو CMD+F).
إنشاء قائمة إدارة توفُّر البرامج (SBOM) مخصّصة
بالنسبة إلى أي إضافات إلى المنصة، بما في ذلك أي سلاسل أدوات ثنائية أو أدوات إنشاء وإصدار، يجب تقديم تمثيل لملف SBOM لمنتجك يستوفي الحد الأدنى من العناصر لملف SBOM. لإنشاء SBOM مخصّص:
شغِّل الأوامر التالية لإعداد بيئتك وإنشاء نموذج SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMيشير
TARGETإلى هدف الإنشاء نفسه الذي تستخدمه لإنشاء نظام التشغيل Android، مثلaosp_arm64-userdebug.لضمان إنشاء SBOM بشكل صحيح، نفِّذ ما يلي:
$ ls out/dist/sbom*