Crear una lista de materiales de software (SBOM)

En febrero de 2022, el Instituto Nacional de Estándares y Tecnología (NIST) publicó la versión 1.1 del Marco de desarrollo de software seguro (SSDF) , un conjunto de pautas integrales sobre prácticas de desarrollo de software seguro en respuesta a la Orden ejecutiva de ciberseguridad (EO) 14028 de 2021 .

Como parte de estos requisitos, el gobierno de EE. UU. podría solicitar una lista de materiales de software (SBOM) , que enumera los componentes de una versión de software.

Los SBOM se generan automáticamente para las compilaciones de integración continua de Android (Android CI). Si utiliza una de las compilaciones de CI, siga los siguientes pasos para obtener un SBOM para una compilación . De lo contrario, siga los pasos para generar un SBOM personalizado .

Obtener un SBOM pregenerado

Para obtener un SBOM pregenerado:

  1. En su navegador, navegue hasta ci.android.com .

  2. En el campo Ingrese un nombre de sucursal , escriba aosp-main .

  3. Para cualquiera de las compilaciones con estado verde, haga clic en la flecha hacia abajo Ver artefactos . Aparece la pantalla Construir artefactos.

  4. En la pantalla Crear artefactos, utilice un comando de búsqueda para localizar el archivo JSON SBOM ( CTRL+F o CMD+F ).

Generar un SBOM personalizado

Para cualquier adición a la plataforma, incluidas cadenas de herramientas binarias o de compilación y lanzamiento, debe proporcionar una representación SBOM de su producto que cumpla con los elementos mínimos para una lista de materiales de software (SBOM) . Para generar un SBOM personalizado:

  1. Ejecute los siguientes comandos para configurar su entorno y compilar el SBOM:

    $ source build/envsetup.sh
    $ lunch TARGET
    $ m sbom # Generates an SBOM
    

    TARGET se refiere al mismo destino de compilación que estás utilizando para compilar Android, como aosp_arm64-userdebug .

  2. Para garantizar que el SBOM se haya compilado correctamente, ejecute:

    $ ls out/dist/sbom*