En février 2022, le National Institute of Standards and Technology (NIST) a publié la version 1.1 du Secure Software Development Framework (SSDF), un ensemble de consignes complètes sur les pratiques de développement de logiciels sécurisés en réponse à l'ordonnance présidentielle 14028 de 2021 sur la cybersécurité.
Dans le cadre de ces exigences, le gouvernement américain peut demander une nomenclature logicielle (SBOM), qui liste les composants d'une version logicielle.
Les SBOM sont générées automatiquement pour les compilations d'intégration continue Android (Android CI). Si vous utilisez l'une des versions CI, suivez les étapes ci-dessous pour obtenir une SBOM pour une version. Sinon, suivez la procédure pour générer une SBOM personnalisée.
Obtenir une SBOM pré-générée
Pour obtenir une SBOM pré-générée :
Dans votre navigateur, accédez à
ci.android.com.Dans le champ Saisissez un nom de branche, saisissez
aosp-android-latest-release.Pour l'une des versions dont l'état est vert, cliquez sur la flèche vers le bas Afficher les artefacts. L'écran "Artefacts de compilation" s'affiche.
Sur l'écran "Artefacts de compilation", utilisez une commande de recherche pour localiser le dossier JSON SBOM (CTRL+F ou CMD+F).
Générer une SBOM personnalisée
Pour tout ajout à la plate-forme, y compris les chaînes d'outils binaires ou de compilation et de publication, vous devez fournir une représentation SBOM de votre produit qui répond aux éléments minimaux pour une nomenclature logicielle (SBOM). Pour générer une SBOM personnalisée :
Exécutez les commandes suivantes pour configurer votre environnement et créer la SBOM :
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETfait référence à la même cible de compilation que celle que vous utilisez pour compiler Android, par exempleaosp_arm64-userdebug.Pour vous assurer que la SBOM a été créée correctement, exécutez la commande suivante :
$ ls out/dist/sbom*