Im Februar 2022 veröffentlichte das National Institute of Standards and Technology (NIST) Version 1.1 des Secure Software Development Framework (SSDF), eine Reihe umfassender Richtlinien für Praktiken zur sicheren Softwareentwicklung als Reaktion auf die Cybersicherheits-Executive Order (EO) 14028 von 2021.
Im Rahmen dieser Anforderungen kann die US-Regierung eine Software-Bestellliste (SBOM) anfordern, in der die Komponenten einer Softwareversion aufgeführt sind.
SBOMs werden automatisch für Android Continuous Integration (Android CI)-Builds generiert. Wenn Sie einen der CI-Builds verwenden, können Sie mit den folgenden Schritten eine SBOM für einen Build abrufen. Andernfalls folgen Sie der Anleitung unter Benutzerdefinierte SBOM generieren.
Vorab generierte SBOM abrufen
So rufen Sie eine vorab generierte SBOM ab:
Rufen Sie in Ihrem Browser
ci.android.comauf.Geben Sie im Feld Enter a branch name (Zweig-Name eingeben)
aosp-mainein.Klicken Sie bei einem Build mit grünem Status auf den Drop-down-Pfeil Artefakte ansehen. Der Bildschirm „Build-Artefakte“ wird angezeigt.
Suchen Sie auf dem Bildschirm „Build-Artefakte“ mit dem Suchbefehl nach der SBOM-JSON-Datei (STRG + F oder BEFEHLSTASTE + F).
Benutzerdefinierte SBOM generieren
Für alle Ergänzungen der Plattform, einschließlich Binär- oder Build- und Release-Toolchains, müssen Sie eine SBOM-Darstellung Ihres Produkts bereitstellen, die den minimalen Anforderungen an eine Software-Materialliste (SBOM) entspricht. So erstellen Sie eine benutzerdefinierte SBOM:
Führen Sie die folgenden Befehle aus, um die Umgebung einzurichten und die SBOM zu erstellen:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETbezieht sich auf dasselbe Build-Ziel, das Sie für das Erstellen von Android verwenden, z. B.aosp_arm64-userdebug.Führen Sie folgenden Befehl aus, damit die SBOM korrekt erstellt wird:
$ ls out/dist/sbom*