En février 2022, le National Institute of Standards and Technology (NIST) a publié la version 1.1 du Secure Software Development Framework (SSDF, ou Framework de développement de logiciels sécurisés), un ensemble de consignes complètes sur les pratiques de développement de logiciels sécurisés en réponse au décret-loi 14028 sur la cybersécurité de 2021.
Dans le cadre de ces exigences, le gouvernement américain peut demander une nomenclature logicielle (SBOM, software bill of materials), qui répertorie les composants d'une version logicielle.
Les SBOM sont générées automatiquement pour les builds d'intégration continue Android (Android CI). Si vous utilisez l'un des builds CI, procédez comme suit pour obtenir une SBOM pour un build. Sinon, suivez la procédure pour générer une SBOM personnalisée.
Obtenir une SBOM pré-générée
Pour obtenir une SBOM pré-générée :
Dans votre navigateur, accédez à
ci.android.com.Dans le champ Enter a branch name (Saisir un nom de branche), saisissez
aosp-android-latest-release.Pour l'un des builds dont l'état est vert, cliquez sur la flèche vers le bas View artifacts (Afficher les artefacts). L'écran Build artifacts (Artefacts de build) s'affiche.
Dans l'écran Build artifacts (Artefacts de build), utilisez une commande de recherche pour localiser le dossier JSON de la SBOM (CTRL+F ou CMD+F).
Générer une SBOM personnalisée
Pour tout ajout à la plate-forme, y compris les chaînes d'outils binaires ou de build et de release, vous devez fournir une représentation SBOM de votre produit qui répond aux éléments minimaux d'une nomenclature logicielle (SBOM). Pour générer une SBOM personnalisée :
Exécutez les commandes suivantes pour configurer votre environnement et créer la SBOM :
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETfait référence à la même cible de build que celle que vous utilisez pour créer Android, par exempleaosp_arm64-userdebug.Pour vous assurer que la SBOM a été créée correctement, exécutez la commande suivante :
$ ls out/dist/sbom*