Im Februar 2022 veröffentlichte das National Institute of Standards and Technology (NIST) Version 1.1 des Secure Software Development Framework (SSDF). Das SSDF ist eine Reihe umfassender Richtlinien zu Best Practices für die sichere Softwareentwicklung, die als Reaktion auf die Executive Order (EO) 14028 zur Cybersicherheit von 2021 entwickelt wurden.
Im Rahmen dieser Anforderungen kann die US-Regierung eine Software Bill of Materials (SBOM) anfordern, in der die Komponenten einer Softwareversion aufgeführt sind.
SBOMs werden automatisch für Android Continuous Integration-Builds (Android CI) generiert. Wenn Sie einen der CI-Builds verwenden, gehen Sie so vor, um eine SBOM für einen Build zu erhalten. Andernfalls folgen Sie der Anleitung zum Generieren einer benutzerdefinierten SBOM.
Vorgefertigte SBOM abrufen
So erhalten Sie eine vorab generierte SBOM:
Rufen Sie in Ihrem Browser
ci.android.comauf.Geben Sie im Feld Enter a branch name (Zweig-Name eingeben)
aosp-android-latest-releaseein.Klicken Sie bei Builds mit grünem Status auf den Abwärtspfeil Artefakte ansehen. Der Bildschirm „Build-Artefakte“ wird angezeigt.
Suchen Sie auf dem Bildschirm „Build-Artefakte“ mit einem Suchbefehl nach dem SBOM-JSON-Ordner (STRG+F oder CMD+F).
Benutzerdefinierte SBOM generieren
Für alle Ergänzungen der Plattform, einschließlich aller binären oder Build- und Release-Toolchains, müssen Sie eine SBOM-Darstellung Ihres Produkts bereitstellen, die den Mindestanforderungen für eine Software-Materialliste (SBOM) entspricht. So erstellen Sie eine benutzerdefinierte SBOM:
Führen Sie die folgenden Befehle aus, um Ihre Umgebung einzurichten und die SBOM zu erstellen:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETbezieht sich auf dasselbe Build-Ziel, das Sie zum Erstellen von Android verwenden, z. B.aosp_arm64-userdebug.Führen Sie folgenden Befehl aus, um zu prüfen, ob die SBOM korrekt erstellt wurde:
$ ls out/dist/sbom*