في شباط (فبراير) 2022، أصدر المعهد الوطني للمعايير والتكنولوجيا (NIST) الإصدار 1.1 من إطار عمل تطوير البرامج الآمنة (SSDF)، وهو مجموعة من الإرشادات الشاملة حول ممارسات تطوير البرامج الآمنة، وذلك استجابةً لالأمر التنفيذي رقم 14028 الصادر في عام 2021 بشأن الأمن السيبراني.
كجزء من هذه المتطلبات، قد تطلب حكومة الولايات المتحدة قائمة مواد البرنامج (SBOM) التي تسرد مكونات إصدار البرنامج.
يتم إنشاء ملفات SBOM تلقائيًا لعمليات إنشاء الإصدارات في عملية الدمج المستمر لنظام التشغيل Android (Android CI). إذا كنت تستخدم أحد عمليات إنشاء البنية الدائمة، اتّبِع الخطوات التالية للحصول على بيان إدارة سلسلة الإمداد (SBOM) لعملية إنشاء. بخلاف ذلك، اتّبِع الخطوات اللازمة لإنشاء ملف معلومات إدارة سلسلة الإمداد (SBOM) مخصّص.
الحصول على قائمة إدارة سلسلة الإمداد (SBOM) تم إنشاؤها مسبقًا
للحصول على بيان إدارة سلسلة الإمداد (SBOM) تم إنشاؤه مسبقًا:
في المتصفّح، انتقِل إلى
ci.android.com.في الحقل إدخال اسم الفرع، اكتب
aosp-android-latest-release.بالنسبة إلى أيّ من النُسخ التي تحمل حالة خضراء، انقر على عرض العناصر السهم المتّجه للأسفل. تظهر شاشة "عناصر التصميم".
في شاشة "عناصر البناء"، استخدِم الأمر "بحث" لتحديد موقع مجلد SBOM JSON (CTRL+F أو CMD+F).
إنشاء قائمة مخصّصة بإدارة سلسلة الإمداد
بالنسبة إلى أي إضافات إلى المنصة، بما في ذلك أي سلاسل أدوات ثنائية أو أدوات إنشاء وإصدار، يجب تقديم تمثيل لملف SBOM لمنتجك يستوفي الحد الأدنى من العناصر لملف SBOM. لإنشاء قائمة إدارة توفُّر البرامج (SBOM) مخصّصة:
شغِّل الأوامر التالية لإعداد بيئتك وإنشاء قائمة SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMيشير
TARGETإلى هدف الإنشاء نفسه الذي تستخدمه لإنشاء نظام التشغيل Android، مثلaosp_arm64-userdebug.للتأكّد من أنّه تم إنشاء قائمة SBOM بشكل صحيح، نفِّذ ما يلي:
$ ls out/dist/sbom*