از 27 مارس 2025، توصیه می کنیم از android-latest-release به جای aosp-main برای ساختن و کمک به AOSP استفاده کنید. برای اطلاعات بیشتر، به تغییرات AOSP مراجعه کنید.
ایجاد یک صورتحساب نرم افزاری مواد (SBOM)
با مجموعهها، منظم بمانید
ذخیره و طبقهبندی محتوا براساس اولویتهای شما.
در فوریه 2022، مؤسسه ملی استانداردها و فناوری (NIST) نسخه 1.1 چارچوب توسعه نرمافزار امن (SSDF) را منتشر کرد، مجموعهای از دستورالعملهای جامع در مورد شیوههای توسعه نرمافزار ایمن در پاسخ به فرمان اجرایی امنیت سایبری (EO) 14028 2021 .
به عنوان بخشی از این الزامات، دولت ایالات متحده ممکن است یک صورتحساب نرم افزاری مواد (SBOM) را درخواست کند که اجزای یک نسخه نرم افزار را فهرست می کند.
SBOM ها به طور خودکار برای ساخت های Android Continuous Integration (Android CI) تولید می شوند. اگر از یکی از ساختهای CI استفاده میکنید، از مراحل زیر برای به دست آوردن SBOM برای یک ساخت استفاده کنید. در غیر این صورت، مراحل ایجاد یک SBOM سفارشی را دنبال کنید.
یک SBOM از پیش تولید شده بدست آورید
برای به دست آوردن یک SBOM از پیش تولید شده:
در مرورگر خود به ci.android.com بروید.
در قسمت Enter a branch name ، aosp-android-latest-release تایپ کنید.
برای هر یک از ساختها با وضعیت سبز، روی پیکان رو به پایین View artifacts کلیک کنید. صفحه Build Artifacts ظاهر می شود.
در صفحه ساخت مصنوعات، از دستور find برای مکان یابی پوشه SBOM JSON ( CTRL+F یا CMD+F ) استفاده کنید.
یک SBOM سفارشی ایجاد کنید
برای هر گونه افزوده شدن به پلتفرم، از جمله هر زنجیره ابزار باینری یا ساخت و انتشار، باید یک نمایش SBOM از محصول خود ارائه دهید که حداقل عناصر را برای یک صورت حساب مواد نرم افزاری (SBOM) برآورده کند. برای ایجاد یک SBOM سفارشی:
دستورات زیر را برای تنظیم محیط خود و ساخت SBOM اجرا کنید:
$ source build/envsetup.sh
$ lunch TARGET
$ m sbom # Generates an SBOM
TARGET به همان هدف ساختی که برای ساخت اندروید استفاده میکنید، مانند aosp_arm64-userdebug اشاره دارد.
برای اطمینان از اینکه SBOM به درستی ساخته شده است، اجرا کنید:
$ ls out/dist/sbom*
محتوا و نمونه کدها در این صفحه مشمول پروانههای توصیفشده در پروانه محتوا هستند. جاوا و OpenJDK علامتهای تجاری یا علامتهای تجاری ثبتشده Oracle و/یا وابستههای آن هستند.
تاریخ آخرین بهروزرسانی 2025-07-29 بهوقت ساعت هماهنگ جهانی.
[[["درک آسان","easyToUnderstand","thumb-up"],["مشکلم را برطرف کرد","solvedMyProblem","thumb-up"],["غیره","otherUp","thumb-up"]],[["اطلاعاتی که نیاز دارم وجود ندارد","missingTheInformationINeed","thumb-down"],["بیشازحد پیچیده/ مراحل بسیار زیاد","tooComplicatedTooManySteps","thumb-down"],["قدیمی","outOfDate","thumb-down"],["مشکل ترجمه","translationIssue","thumb-down"],["مشکل کد / نمونهها","samplesCodeIssue","thumb-down"],["غیره","otherDown","thumb-down"]],["تاریخ آخرین بهروزرسانی 2025-07-29 بهوقت ساعت هماهنگ جهانی."],[],[],null,["# Create a software bill of materials (SBOM)\n\nIn February 2022, the National Institute of Standards and Technology (NIST)\npublished version 1.1 of the\n[Secure Software Development Framework (SSDF)](https://csrc.nist.gov/Projects/ssdf),\na set of comprehensive guidelines on secure software development practices in\nresponse to the\n[2021 Cybersecurity Executive Order (EO) 14028](https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity).\n\nAs part of these requirements, the US government might request\na *software bill of materials (SBOM)*, which lists components of a software\nrelease.\n| **Note:** SBOMs generated using the steps on this page include the [Minimal Elements for a Software Bill of Materials (SBOM)](https://www.ntia.doc.gov/report/2021/minimum-elements-software-bill-materials-sbom) as published by the National Telecommunications and Information Administration (NTIA). Additionally, Android-based SBOM tooling and product SBOMs are compatible with the [Software Package Data Exchange (SPDX) 2.3](https://spdx.github.io/spdx-spec/v2.3/) format for communicating the component and metadata information associated with software packages.\n\nSBOMs are automatically generated for Android Continuous Integration\n(Android CI) builds. If you use one of the CI builds, use the following steps\nto\n[obtain an SBOM for a build](#obtain).\nOtherwise, follow the steps to\n[generate a custom SBOM](#generate).\n\nObtain a pregenerated SBOM\n--------------------------\n\nTo obtain a pregenerated SBOM:\n\n1. In your browser, navigate to `ci.android.com`.\n\n2. In the **Enter a branch name** field, type `aosp-android-latest-release`.\n\n3. For any of the builds with green status, click the **View artifacts**\n down arrow. The Build artifacts screen appears.\n\n4. In the Build artifacts screen, use a find command to locate the SBOM JSON\n folder (**CTRL+F** or **CMD+F**).\n\nGenerate a custom SBOM\n----------------------\n\nFor any additions to the platform, including any binary or build and release\ntool chains, you must provide a SBOM representation of your product that meets\nthe\n[Minimal Elements for a Software Bill of Materials (SBOM)](https://www.ntia.doc.gov/report/2021/minimum-elements-software-bill-materials-sbom).\nTo generate a custom SBOM:\n\n1. Run the following commands to set up your environment and build the SBOM:\n\n $ source build/envsetup.sh\n $ lunch \u003cvar translate=\"no\"\u003eTARGET\u003c/var\u003e\n $ m sbom # Generates an SBOM\n\n The \u003cvar translate=\"no\"\u003eTARGET\u003c/var\u003e refers to the same build target that you\n are using to build Android, such as `aosp_arm64-userdebug`.\n2. To ensure the SBOM built correctly, execute:\n\n $ ls out/dist/sbom*"]]
